{"id":4869,"date":"2013-05-30T23:03:21","date_gmt":"2013-05-30T21:03:21","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=4869"},"modified":"2013-05-30T23:18:33","modified_gmt":"2013-05-30T21:18:33","slug":"pasos-para-recuperar-un-site-infectado-por-un-virus-el-ataque-php-eval","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/pasos-para-recuperar-un-site-infectado-por-un-virus-el-ataque-php-eval\/","title":{"rendered":"Pasos para recuperar un site infectado por un virus. El ataque PHP eval"},"content":{"rendered":"

Esta semana estamos acudiendo a un ataque masivo de websites.<\/p>\n

El comportamiento existente una vez infectado se detecta con el err\u00f3neo funcionamiento de webs, creaci\u00f3n de archivos ocultos, substituci\u00f3n de index.php en distintas carpetas, etc …<\/p>\n

Estas son infectadas con archivos que poseen un c\u00f3digo en formato base 64 similar a este:<\/p>\n

<\/p>\n

 <\/p>\n

 <\/p>\n

<?php eval(gzinflate(base64_decode(“BcFJkqRGlh5r6FqpbdycsNrLAHa9r1ieOyXoh6DlScu<\/strong><\/span><\/p>\n

kUfck7NtypWurirga7AzkszOheMNnXE580GtTczomgrodw<\/strong><\/span><\/p>\n

vPQTKZAT7j2heuFvv27JREPUyvyL3bMa0+lgtr1wdrB3SmEU3ebvhdlMx\/\/19\/fz8\/P4H”))); ?><\/strong><\/span><\/p>\n

Con una herramienta como esta podremos decodificar el contenido del c\u00f3digo:<\/p>\n

http:\/\/www.tareeinternet.com\/scripts\/decrypt.php<\/a><\/p>\n

Vemos los pasos necesarios para desinfectar la web, \u00a0como funciona este ataque, y como “prevenirse”.<\/p>\n

1)<\/strong> \u00a0Lo m\u00e1s importante. Disponer de una copia de seguridad previa, limpia<\/strong>. Recuerdo la importancia de realizar copias de forma peri\u00f3dica.<\/p>\n

2) Apagar o desconectar el sitio.<\/strong><\/p>\n

Necesitaremos cerrar b\u00e1sicamente la puerta al sitio antes de hacer el trabajo de recuperaci\u00f3n. Esto evitar\u00e1 que los visitantes se infecten con el c\u00f3digo malicioso, ver los mensajes de error, etc.<\/p>\n

Para realizarlo es necesario crear un \u00a0archivo .htaccess en el ra\u00edz del sitio o webroot. (Sustituir con nuestra propia direcci\u00f3n IP<\/p>\n

Para conocer la ip podemos consultar webs como esta:<\/p>\n

http:\/\/icanhazip.com<\/a><\/p>\n

<\/p>\n

1
2
3
<\/div><\/td>
order deny,allow
\n<code>deny from all
\n<code>allow from !!Tu direcci\u00f3n ip aqui!!<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n

<\/code><\/code><\/strong><\/p>\n

El c\u00f3digo del .htaccess funciona en servidores con Apache.<\/p>\n

Para crear un archivo similar en IIS<\/strong> es necesario crear un web.config<\/p>\n

<security>\r\n<ipSecurity allowUnlisted=\"false\"> \r\n<!-- this line blocks everybody, except those listed below -->\r\n<clear\/> <!\u2014removes all parent restrictions -->\r\n<add ipAddress=\"127.0.0.1\" allowed=\"true\"\/> \r\n<!-- allow requests from the local machine -->\r\n<add ipAddress=\"83.116.19.53\" allowed=\"true\"\/> \r\n<!-- allow the specific IP of 83.116.19.53 -->\r\n<add ipAddress=\"83.116.119.0\" subnetMask=\"255.255.255.0\" allowed=\"true\"\/><\/strong>\r\n <!--allow network 83.116.119.0 to 83.116.119.255-->\r\n<add ipAddress=\"83.116.0.0\" subnetMask=\"255.255.0.0\" allowed=\"true\"\/><\/strong>\r\n <!--allow network 83.116.0.0 to 83.116.255.255-->\r\n<add ipAddress=\"83.0.0.0\" subnetMask=\"255.0.0.0\" allowed=\"true\"\/><\/strong>\r\n <!--allow entire \/8 network of 83.0.0.0 to 83.255.255.255-->\r\n<\/ipSecurity>\r\n<\/security><\/strong>\r\n\r\nVer m\u00e1s ejemplos aqu\u00ed:\r\nhttp:\/\/www.michaels.me.uk\/post.cfm\/restricting-access-to-your-website-admin-by-ip-address<\/a><\/pre>\n
 <\/p>\n
3)\u00a0Descargar una copia de todos los ficheros del servidor remoto<\/strong> al ordenador local. Recuerda disponer de antivirus actualizado.<\/p>\n
Descarga todo en una carpeta separada de los backups limpios. Esto puede llevar tiempo, dependiendo de la velocidad de conexi\u00f3n, tama\u00f1o del site, numero de ficheros, etc.<\/p>\n
4) Descargar e instalar una utilidad de comparaci\u00f3n de archivos \/ carpetas<\/strong><\/p>\n
En un equipo Windows, podemos utilizar WinMerge – http:\/\/winmerge.org\/<\/a> – es gratis y bastante potente.<\/p>\n
En una m\u00e1quina de MacOS, echa un vistazo a la lista de posibles alternativas de Alternative.to<\/a><\/p>\n
Necesitaremos comprobar los siguientes elementos:<\/p>\n
Si los archivos son id\u00e9nticos – El archivo actual es el mismo que la copia de seguridad, por lo que no se ve afectada.<\/p>\n
Archivos diferentes, pueden estar perfectamente infestados por el virus.<\/p>\n
Resolver diferencias en cuanto al numero, tama\u00f1o, versi\u00f3n, fechas, etc.<\/p>\n
5) Cambiar passwords, de FTP, panel de control, etc.<\/strong><\/p>\n
6) Comprobar el perfecto funcionamiento.<\/strong><\/p>\n
7) Abrir el site al publico eliminando las restricciones de IP<\/p>\n
8) Crear backups peri\u00f3dicos programados.<\/p>\n
9) Ejecutar tareas cron para comprobar el estado y cambio de ficheros. Mediante scripts.<\/p>\n
Herramientas:<\/p>\n