sitio hackeado

Arturo Mardones katador en gmail.com
Lun Nov 28 18:53:21 CLST 2005


On 11/28/05, Juan Carlos Inostroza <jci en codemonkey.cl> wrote:
> On Mon, 2005-11-28 at 16:47 -0300, Arturo Mardones wrote:
> > Hola sres...
> >
> > Dsps de estar toda un mañana instalando desde cero el firewall y el
> > dns por muerte del anterior equipo... me encontre con esta sorpresa...
> > cambiaron el inicio, pero no se donde buscar... estoy algo perdido...
> > me pueden dar una mano?? pq revise los archivos index del apache y del
> > mambo, tb pase el chkrootkit pero no encuentra nada...
>
> Mala configuracion (apache/php).
>
> Hay un exploit dando vuelta para Mambo hace unos dias.
>
sip, era eso... alguna sugerencia de que debiera revisar en la
configuracion de php??
bueno la cosa es que cambian el configuration.php asi:
 <html>
<title>Hacked by Byond</title>
<body bgcolor="#000000" text="#aaaaaa">
<center><p>
<font face="tahoma" size=3>
<b>byond crew</b> <font color="#bb0000">pwn</font> u!!<p>
<font size=1>
<b>OWNED by SSH-2</b>
<b>CHILE</b> -    palestina1815 en hotmail.com<p>
<b>WE ARE:</b>
<img src="http://img365.imageshack.us/img365/5528/weare0in.jpg"><p>
<font size=3>
lets hack!!<p>
<font size=2>
special greets to  Unknown Core ; DigitalMind ; Eno7 ; Terror_br ; D.O.M<p>
</font>
</html>

tons, renove el configuration.php ...  lo deje sin permiso de
escritura, antes por ahi tenia el problema yo creo jojojo!  :( y los
index del administrator tb lo deje sin
permiso de escritura. Ademas de unos parches que habian en el sitio,
alguna sugerencia de cambio de configuracion en php o apache??? :D :D

En el sitio habla de que se podria haber instalado codigo malicioso...
existe alguna forma de saber si es asi y como buscarlo? pq ahora mi
sitio se ve bien... el administrador esta raro se duplicaron los
botones, estoy viendo eso.

Slds! y gracias desde ya.



Más información sobre la lista de distribución Linux