Como desinfectar la web de los virus o backdors

Si su web esta infectada o tiene un código malicioso, es recomendable empezar de análisis de logs de su servidor.

Ejemplo logs sospechosos de servidor con Apache:

Como encontrar ficheros infectados?

abrimos el fichero access_log i buscamos algo parecido a esto:

compbcn.es 85.214.116.86 - - [03/Mar/2015:00:38:04 +0300] "POST /wp-includes/js/tinymce/plugins/paste/toolbar.admin.php HTTP/1.1" 404 69490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" 0
compbcn.es 85.214.116.86 - - [03/Mar/2015:00:38:05 +0300] "POST /wp-content/uploads/ultimate-tinymce/imgmgr/1649/files/press.php HTTP/1.1" 404 69490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" 0
compbcn.es 85.214.116.86 - - [03/Mar/2015:00:38:06 +0300] "POST /wp-includes/SimplePie/Decode/option.php HTTP/1.1" 404 69490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" 0

Vemos que hay unos peticiones (POST) raros a ficheros .php que posiblemente contiene shell o virus o mailer o otro tipo de script malo que envía spam etc…

Si tenéis acceso shell en su alojamiento podemos usar unos comandos de linux, si no, hay que descargar los ficheros en ordenador y hacer la busqueda con notepad++ o similar.

Como detectar archivos sospechosos?

Continuamos con detectar los archivos reciente creados últimos 7 días

find . -type f -name '*.php' -mtime -7

Buscamos en ficheros .php que contenga cosas sospechosos como funciones potencialmente peligrosos de php:

eval, base64_decode, gzinflate o str_rot13.

Primar comando es buscar funcion “eval” en todos ficheros de .php.
El siguente es buscar contenifo codificado con fucnion “base64_decode”.
Para esto usamos:

find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color

Otros comandos útiles:

Comprobar ficheros .htaccess en caso de usar Apache

funciones “auto_append_file” o “auto_prepend_file” incluye otros ficheros .php en principio o al final de ficheros .php

find . -type f -name '\.htaccess' | xargs grep -i auto_prepend_file;
find . -type f -name '\.htaccess' | xargs grep -i auto_append_file;

El otro busca unos re-direcciones:

find . -type f -name '\.htaccess' | xargs grep -i http;

Prevenir ejecutar programas en directorias de imágenes:

Todo simple. A carpetas necesarias añadimos el fichero .htaccess con contenido:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Por lo cual desactivamos el PHP, si ententar a ejecurar uno, se vera en pantalla el contenido de documento

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *