Esta semana estamos acudiendo a un ataque masivo de websites.

El comportamiento existente una vez infectado se detecta con el erróneo funcionamiento de webs, creación de archivos ocultos, substitución de index.php en distintas carpetas, etc …

Estas son infectadas con archivos que poseen un código en formato base 64 similar a este:

<?php eval(gzinflate(base64_decode(«BcFJkqRGlh5r6FqpbdycsNrLAHa9r1ieOyXoh6DlScu

kUfck7NtypWurirga7AzkszOheMNnXE580GtTczomgrodw

vPQTKZAT7j2heuFvv27JREPUyvyL3bMa0+lgtr1wdrB3SmEU3ebvhdlMx//19/fz8/P4H»))); ?>

Con una herramienta como esta podremos decodificar el contenido del código:

http://www.tareeinternet.com/scripts/decrypt.php

Vemos los pasos necesarios para desinfectar la web,  como funciona este ataque, y como «prevenirse».

1)  Lo más importante. Disponer de una copia de seguridad previa, limpia. Recuerdo la importancia de realizar copias de forma periódica.

2) Apagar o desconectar el sitio.

Necesitaremos cerrar básicamente la puerta al sitio antes de hacer el trabajo de recuperación. Esto evitará que los visitantes se infecten con el código malicioso, ver los mensajes de error, etc.

Para realizarlo es necesario crear un  archivo .htaccess en el raíz del sitio o webroot. (Sustituir con nuestra propia dirección IP

Para conocer la ip podemos consultar webs como esta:

http://icanhazip.com

El código del .htaccess funciona en servidores con Apache.

Para crear un archivo similar en IIS es necesario crear un web.config

<security>
<ipSecurity allowUnlisted="false"> 
<!-- this line blocks everybody, except those listed below -->
<clear/> <!—removes all parent restrictions -->
<add ipAddress="127.0.0.1" allowed="true"/> 
<!-- allow requests from the local machine -->
<add ipAddress="83.116.19.53" allowed="true"/> 
<!-- allow the specific IP of 83.116.19.53 -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0" allowed="true"/>
 <!--allow network 83.116.119.0 to 83.116.119.255-->
<add ipAddress="83.116.0.0" subnetMask="255.255.0.0" allowed="true"/>
 <!--allow network 83.116.0.0 to 83.116.255.255-->
<add ipAddress="83.0.0.0" subnetMask="255.0.0.0" allowed="true"/>
 <!--allow entire /8 network of 83.0.0.0 to 83.255.255.255-->
</ipSecurity>
</security>

Ver más ejemplos aquí:
http://www.michaels.me.uk/post.cfm/restricting-access-to-your-website-admin-by-ip-address

3) Descargar una copia de todos los ficheros del servidor remoto al ordenador local. Recuerda disponer de antivirus actualizado.

Descarga todo en una carpeta separada de los backups limpios. Esto puede llevar tiempo, dependiendo de la velocidad de conexión, tamaño del site, numero de ficheros, etc.

4) Descargar e instalar una utilidad de comparación de archivos / carpetas

En un equipo Windows, podemos utilizar WinMerge – http://winmerge.org/ – es gratis y bastante potente.

En una máquina de MacOS, echa un vistazo a la lista de posibles alternativas de Alternative.to

Necesitaremos comprobar los siguientes elementos:

Si los archivos son idénticos – El archivo actual es el mismo que la copia de seguridad, por lo que no se ve afectada.

Archivos diferentes, pueden estar perfectamente infestados por el virus.

Resolver diferencias en cuanto al numero, tamaño, versión, fechas, etc.

5) Cambiar passwords, de FTP, panel de control, etc.

6) Comprobar el perfecto funcionamiento.

7) Abrir el site al publico eliminando las restricciones de IP

8) Crear backups periódicos programados.

9) Ejecutar tareas cron para comprobar el estado y cambio de ficheros. Mediante scripts.

Herramientas:

• Tripwire –  un script en PHP  para detectar, analizar y reportar ficheros nuevos, borrados o modificados
• Shell script  para monitorizar cambios en los ficheros
• Como detectar si tu servidor web ha sido hackeado y estar alerta

Mecanismos de prevención.

Empleo de conexiones FTP seguras.

Cambio de contraseña de FTP y panel de control.

Empleo de antivirus actualizado y anti troyanos.

Cambio de contraseñas periódicamente.

Contratación de servidores VPS o dedicados. Sin ser multidominio.

Actualización del sistema.

Trucos

Empleo de scripts autoeliminación de PHP encode automáticamente desde el servidor.
http://blog.criticalpixel.com/

Para decodificar los encriptados scripts php podremos usar esta herramienta:
http://www.opinionatedgeek.com/dotnet/tools/base64decode/

Para formatear los resultados, esta otra:
http://beta.phpformatter.com/

Otro codificador, decodificador.

http://www.motobit.com/util/base64-decoder-encoder.asp 

Hasta luego – SGFzdGEgbHVlZ28=