Tareas #6397

Pharma Hack en sitio web Unibici

Added by Daniel Viñar Ulriksen about 1 month ago. Updated about 1 month ago.

Status:ResueltaStart date:01/17/2020
Priority:AltaDue date:
Assignee:Daniel Viñar Ulriksen% Done:

60%

Category:-Spent time:-
Target version:-

Description

Nos señalaron de las redes sociales que el sitio de Unibici había sido hackeado, sugiriendo mirar el pie de página. Efectivamente, mirando la página sin sus estilos CSS (en firefox: menú "ver" -> "Estilo de página": "sin estilo") vemos que al final aparecen estos enlaces típicos de uurpaciones que, investigando, se conocen como "pharma hack":

No es muy complejo suprimir estas inyecciones, pero lo importante es identificar cómo fueron hechas y evitar que vuelvan a suceder.

Cabe mencionar que no es el primer caso en el hospedaje en Davinci, también había pasado con el sitio de la CCI. Siendo dos tecnologías diferentes (SPIP para Unibici, Drupal para la CCI) deja pensar que probablemente el problema esté a nivel del servidor madre, en el apache o el PHP, que efectivamente están desactualizados.

SpamUnibici.png (37.2 KB) Daniel Viñar Ulriksen, 01/17/2020 04:18 PM

BusquedaSpamUnibici.png (42.8 KB) Daniel Viñar Ulriksen, 01/17/2020 04:42 PM

4627
4628

Related issues

Blocks Sitios web - Tareas #6411: Migrar unibici.edu.uy En curso 01/31/2020

History

#1 Updated by Daniel Viñar Ulriksen about 1 month ago

Vamos a resolver este tema, migrar el sitio a la nueva plataforma (asado.interior) y actualizar el SPIP.

No obstante, conviene diseñar una metodología que nos permita estar seguro que no se nos pasan enlaces ocultos, que queden ahí generándo tráfico y notoriedad a spammers.

Buscando, veo bastante información respecto al tema y algunas herramientas para Wordpress, pero no encuentro ningún sitio gratuito y abierto en el que se pueda analizar sistemáticamente la totalidad de un sitio para verificar si en algún lugar tiene enlaces de SPAM inyectados.

Lo más útil que encuentro es el método 3 de esta página sobre el tema. Es decir, simplemente, hacer una búsqueda:

site:unibici.edu.uy (viagra|cialis|regalis|payday|blackjack|holdem|porn)

Con esta técnica, podemos constatar que el spam está sólo en la portada, única página que encuentra:

#2 Updated by Daniel Viñar Ulriksen about 1 month ago

En la carpeta del sitio encontramos algunos archivos que no corresponden a SPIP, en particular un 2.php que dentro mismo dice que es un WebShell.

Además de estos archivos, que serían los que permitieron inyectar código, el único lugar en el que se encuentran los enlaces de spam (buscando con un grep casino -R *) es el index.php, simplemente agregado luego del código SPIP. Lo que tiende a confirmar que es un "ataque" genérico que aprovechó vulnerabilidades del hosting.

#3 Updated by Daniel Viñar Ulriksen about 1 month ago

  • Status changed from En curso to Resuelta
  • % Done changed from 20 to 60

index.html saneado, sitio limpio.

#4 Updated by Daniel Viñar Ulriksen 28 days ago

Also available in: Atom PDF