Información sobre hack

Buenas tardes a todos, mi nombre es Joan, aunque llevo muchos años en la comunidad y aprendiendo de todos ustedes, no suelo escribir mucho. Hoy les escribo porque he recibido una llamada en la cual me comunicaban que la web de la empresa estaba caída. Al ir a ver que pasaba me he encontrado con el código de mi index.php cambiado.

Habían añadido el siguiente código arriba del todo:

(código removido porque... really?)

Por suerte, esto creaba una incompatibilidad con mi código y la web se caía. Sabe alguno de ustedes que intentaba hacer este hack?

Saludos y gracias.

PD: Ya he cambiado todas mis contraseñas y he enviado un mensaje a mi host para que averigüen como han conseguido hacerlo.

Intentaban abrir un puerto a tu servidor, ejecutar una consola y hacerse dueños de tu server. Revisalo muy bien.

Gracias por la respuesta Freddie. Pues estuve indagando varias horas, y conseguí descifrar en parte el código. Parece ser que la intención era crear una carpeta para subir fichero .html de spam, y al entrar a la web que se viera el spam. Al estar detrás de Cloudfare no les funcionaba el script.

Aún así no comprendo como consiguieron escribir en mi index.php. Los del hosting me dicen que es por mi software instalado, pero la web es programación mía y solo tengo un formulario cutre.

En la web de mi cuñada, del mismo hosting también tuvo el mismo hack, en el cual si tuvieron éxito.

La verdad el problema se puede deber a que tu formulario tiene problemas al filtrar las variables $_POST o $_GET que este generando (me imagino que es PHP). Lo más probable es que ya dejanos un backdoor por medio de una shell para ingresar a tu sitio. Lo que debe hacer es primero que todo mejorar la seguridad de tu formulario saneando tus variables $_GET o _$POST que se generan por medio de formulario, si este permite subir archivos debes filtrar las extensiones que se permiten.

Por otra parte tu hosting te debe prestar ayuda ya que sus antivrus deberian detectar este tipo de problemas.

Te dejo una forma simple de como sanear tus variables en PHP (asumo que es PHP).

http://web.ontuts.com/tutoriales/validar-y-sanear-datos-en-php/

Espero que puedas solventar esto.

OJO revisa todos los archivos que tengan como nombre index.php, index.html, header.php, footer.php ya que este tipo de scripts suelen ataque archivos con ese nombre ya asi se asegurar que se ejecutara el script.

La verdad es que validos datos. Lo mas curioso del caso, es que en el mi proveedor de hosting, pero en otra cuenta, tengo otra web, totalmente estàtica, aunque es extensión php. En ella no hay formulario alguno ni nada parecido, y aún así pusieron el código para la shell. El hosting se lava las manos. Es muy extraño.

Es importante que esos detalles los reportes con tu proveedor de hosting pues deben tener sistemas que detecten el malware o cuando alguien suba o intente subir algo extraño. Avísales para que estén alerta y puedan brindar mayor seguridad a su servidor y así se protegen otros usuarios del mismo servidor.

Por otro lado si usas scripts como Joomla o Wordpress o parecido, es importante que los mantengas al día y protegidos. Así no se da oportunidad a los piratas de vulnerar los archivos y subir contenido malicioso que a la larga afecta la reputación de la IP del servidor y a tus sitios.