Estimados colegas, los molesto porque hace poco tiempo instale dos servidores sobre Debian, uno con samba y otro con qmail y apache….
La cuestión que en este ultimo servidor estaba el sitio web de una empresa cliente, y la misma fue hackeada por *Hacked By HaXoR *'*edincik-team'* * Turkish Defacers** ** Turkish Defacers, *eso es lo que figura en la página web actualmente, alguien conoce que es lo que pudo haber sucedido, o como solucionar el inconveniente? Desde ya muchas gracias a todos!!!
La cuestión que en este ultimo servidor estaba el sitio web de una empresa cliente, y la misma fue hackeada por *Hacked By HaXoR *'*edincik-team'* * Turkish Defacers** ** Turkish Defacers, *eso es lo que figura en la página web actualmente, alguien conoce que es lo que pudo haber sucedido, o como solucionar el inconveniente? Desde ya muchas gracias a todos!!!
Respuesta
Entre el universo de posibilidades del ataque, las más comunes para ataques Deface se deben a vulnerabilidades (malas prácticas en la codificación) de aplicaciones web (scripts en PHP, Perl, CGIs, etc.).
Si tenés alguna aplicación desarrollada en casa, deben de revisar que las variables estén debidamente validadas, limitadas en tamaño y transformadas correctamente al tipo que deberían ser, depuradas para evitar XSS, etc.; o bien revisar las llamadas a archivos externos (ataques RFI).
Si es una aplicación desarrollada por terceros, debés asegurarte de tener SIEMPRE la última versión instalada y/o parchada.
Te dejo estos links que pueden ser de interés:
http://adf.ly/1i0sFk
http://adf.ly/1i0sGt
http://adf.ly/1i0sI4
...............
Aqui tenes el mail de black wolf, preguntale a el mismo....
http://www.confeauditores.com/forum/
Si tenés alguna aplicación desarrollada en casa, deben de revisar que las variables estén debidamente validadas, limitadas en tamaño y transformadas correctamente al tipo que deberían ser, depuradas para evitar XSS, etc.; o bien revisar las llamadas a archivos externos (ataques RFI).
Si es una aplicación desarrollada por terceros, debés asegurarte de tener SIEMPRE la última versión instalada y/o parchada.
Te dejo estos links que pueden ser de interés:
http://adf.ly/1i0sFk
http://adf.ly/1i0sGt
http://adf.ly/1i0sI4
...............
Aqui tenes el mail de black wolf, preguntale a el mismo....
http://www.confeauditores.com/forum/
Otra respuesta
Hice la consulta en un foro de seguridad del que formo parte...
te copio/pego algunas respuestas.
Saludos.
Sebastián Bortnik
http://unmundobinario.wordpress.com
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." Albert Einstein
.............
Seguramente han utilizado alguna
herramienta automatica... defaceando miles de sitios
web vulnerables de un solo saque... asi que lo ideal
seria revisar algunos puntos del servidor como:
Que no este instalado el apache en el directorio por
default, que esten los permisos asignados
correctamente, que no existan pwd por default, que no
se puedan listar directorios desde internet, puertos
abiertos, etc, etc.
Mas info de "Los muchachos turcos"
http://adf.ly/1i0sMk
te copio/pego algunas respuestas.
Saludos.
Sebastián Bortnik
http://unmundobinario.wordpress.com
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." Albert Einstein
.............
Seguramente han utilizado alguna
herramienta automatica... defaceando miles de sitios
web vulnerables de un solo saque... asi que lo ideal
seria revisar algunos puntos del servidor como:
Que no este instalado el apache en el directorio por
default, que esten los permisos asignados
correctamente, que no existan pwd por default, que no
se puedan listar directorios desde internet, puertos
abiertos, etc, etc.
Mas info de "Los muchachos turcos"
http://adf.ly/1i0sMk