Incidente de seguridad.

Leonardo Iba?
04 de Diciembre del 2004
Hola, el otro día me comunicaron desde la empresa donde tengo alojada la web que habían detectado un fallo se seguridad en mi web y que permanecería cerrada hasta solucionar el fallo. Desde esta empresa me remitieron el siguiente mail con la descripción del fallo. Si alguien puede ayudarme con este asunto estaría muy agradecido. Os facilito la contestación por parte de la empresa:
"... El incidente se produjo por un grave fallo en la programacion del archivo public_html/partes_1/index.php. Este archivo, que realizaba la inclusion de una variable global sin verificar ni el origen ni los datos que esta contenia, fue utilizada por el atacante remoto para que el proceso apache descargara y ejecutara un script php preparado por este. El objetivo del script en cuestion no era otro que descargar un bot de irc e intentar arrancarlo para utilizarlo en el intercambio de archivos de musica y video a traves de la red undernet."
Sigue con las posibles soluciones:

"... Si bien este tipo de problemas suele producirse en paquetes de
software para portales web (como por ejemplo phpnuke ), y se soluciona
actualizando a la ultima version, en su caso es totalmente
imprescindible que revise, de forma detalla y minuciosa la programacion
de su alojamiento. Como norma general para evitar problemas, le aconsejo:
- Verificar todos los datos de las variables que sean rellenados por
el usuario.
- Desactivar la opcion register_globals para evitar el paso de
valores entre scripts u otros problemas.
- Bajo ninguna circunstancia utilizar variables en las directivas
require o include.
"

Si alguien tiene una idea de lo que puedo hacer, lo agradecería mucho.

Un saludo.

Xian
04 de Diciembre del 2004
Se tiene una idea a grandes rasgos, pero seria mucho mejor si pusieras el codigo fuente para ver cual es el problema.

Jaime Vera
04 de Diciembre del 2004
Sería de mucha ayuda que pusieras el código pero debido a que al parecer se trata de una página registrada, tal vez no te sea posible hcerlo. En todo caso revisa exaustivamente de donde estas obteniendo las variables y si estas permitiendo procesos del tipo Upload, fopen, etc..., es decir manejo de archivos mediante PHP asegurate de que no tengas huecos por donde te puedan inyectar código y si hay huecos restríngelos soicitando valores explícitos para evitar que se cargue algo ajeno que posteriormente pudiera ser ejecutado incluso por el mismo PHP llamando algun EXEC y luego las cosas podrían empeorar. En el manual de php.net explican muy bien que consecuencias te podría traer un mal uso de variables cuando se trata sobre manejo de archivos.

SALUDOS!!!! ( jjaimevera )