Desinfectando, Borrando o Limpiando Archivos de AdWare!

Pues, uno de mis clientes le hackearon su sitio web, de hecho no solo el sitio web, si no TODOS los sitios que tenia alojados en el servidor 馃檨

El script que colocaron, fue un AdWare, el cracker usaba su sitio web para realizar infinitas redirecciones hacia otros sitios mostrando publicidad de terceros. de esta manera el cracker estaba ganando una millonada con el servidor de mi cliente.

驴cual fue mi trabajo?, obviamente salvarlo de una cat谩strofe, tanto el servidor como las bases de datos, ya que el cracker tambi茅n incluyo un c贸digo maligno dentro de las bases de datos, algo como lo siguiente.

y

Voy hacer honesto con esto, aunque es normal ver este tipo de script en sitios que son infectados, mi primera impresi贸n fue: “que criminal c贸digo”.

El c贸digo esta en聽CharCode. El cual puedes decifrar (decodear o decodificar) si usas un servicio viejo como: http://jdstiles.com/java/cct.html, Es un tipo de cifrado eval javascript por as铆 decirlo.

En el caso de las bases de datos, para quitar el c贸digo lo 煤nico que se hace es descargar la base de datos, o tabla que este infectada con el c贸digo y editar con un software de edici贸n de texto, (recomiendo notepad++), Luego le dan a Buscar al c贸digo maligno y luego reemplazan todo el resultado por un “espacio” en blanco por ejemplo, y listo, guardan y subes nuevamente la base de datos.

Para el caso de los archivos infectados, he all铆 el problema. Ya que para lograr esto lo debes hacer v铆a SSH, y si tienes una cuenta de cpanel o de revendedor, es probable que esto no sea para ti, en este caso te recomiendo solicitar soporte de segundo o tercer nivel a tu Centro de Datos o proveedor de Hosting.

Ahora vamos al c贸digo maligno en los archivos, para esto he encontrado que todos los archivos estaban infectados con este c贸digo:

Esto se ejecutaba el sitio via http, esto lo encontre dentro de los “javascript” (*.js) del sitio.

Asi que lo primero es Buscar con el comando,聽grep,聽

Mi primera consulta fue algo como:

Para explicar el codigo, el comando,聽Al indicar -ri donde con el argumento “r” conseguimos que la b煤squeda se realice dentro de todos los ficheros existentes en el propio directorio y en todos los subdirectorios internos, y el argumento “i” ignora todas las mayusculas/min煤sculas.

Obvio que obtuve un mont贸n de resultados.. Pero un servidor infectado completamente es un poco tedioso de limpiar, sobretodo cuando todos los archivos est谩n infectados, (OJO, antes todo el proceso de limpieza ya hab铆a securizado el servidor, osea borrado los accesos por donde el cracker accedi贸).

Mi pregunta era 驴de que forma iba a solucionar limpiar todos estos archivos? No iba a pasar mi vida limpiando archivo por archivo, para esto he conseguido formular mi propio script con el comando .find y sed quieres me hicieron la vida facil.

Mi peque帽o script fue el siguiente.

Para explicar esto, Cambiamos el texto AdWare por un espacio, en todos los ficheros *.js (solo javascript pero puedes colocar solo “*”) a partir de la ruta ./ (root) de forma recursiva.

Puedes simplificar esto solo a que se busque el c贸digo maligno en tu carpeta www, html o vhosts tambi茅n cambiando el / por * posicionado en la carpeta que va a buscar el c贸digo.

En mi caso quedo de esta forma:

De esta forma, eliminaras el c贸digo maligno de todos tus archivos.

Esta es la forma mas f谩cil y sencilla para lograr limpiar tus archivos de alg煤n c贸digo malicioso que haya afectado tu servidor / sitio web.

 

Espero que te haya gustado,

Feliz d铆a para limpiar tu servidor 馃檪

Modulo Licensing Manager de WHMCS decodificado y sin licencia!

Pues una de mis capacidades con ingenier铆a inversa es lograr decodificar archivos pero ademas lograr hacer que el c贸digo funcione tambi茅n.

en esta ocasi贸n he logrado decodificar (decoded) un grandioso modulo que para el que lo conozca le podr铆a sacar muchisimo provecho. Hablamos de nada mas y nada menos que de “Licensing Manager” o “Software Licensing” o tambi茅n en espa帽ol “Manajador de Licencias” de WHMCS.

Que para quien lo conozca es un software de pago de WHMCS. El mismo tiene un costo en su pagina web de nada mas y nada menos que:聽$99.95.

Demasiado caro para mi gusto, un software que probablemente puedo programar con los ojos cerrados despu茅s de entenderlo. Pero que solo por hacerme el mas inteligente que la gente de WHMCS he decido en otras palabras “crackear, nullear o piratear el c贸digo” simplemente para demostrar de que mis habilidades son mucho mejores que la de ellos. (ojo, soy聽 hacker inform谩tico, no cracker, aunque tengo habilidades de cracking tambi茅n que obtuve con pasar de los a帽os).

Para los que no lo conozcan con este software, (manajador de licencias) podrias crear un plugin, modulo, hook, script, incluso una plantilla (theme), y agregarle una licencia y venderla en tu sitio web whmcs, de esta manera el software podria manejar los periodos de vencimiento de la licencia del software que vendiste, como actualizaciones del modulo entre otras funciones que podr铆as aprovechar.

Hablemos ahora del software, el software es la ultima version hasta hoy publicada de WHMCS. Siendo esta la versi贸n聽3.1 del software.

El c贸digo esta comentado en varias secciones para que pueda funcionar correctamente en WHMCS. (ya que de otro modo solicitar铆a licencia para su uso).

Dejo captura del software funcionando en mi Hosting.

Y asi mas o menos se ver铆a el Modulo funcionando, y Aqu铆 otra captura de parte del c贸digo ya crackeado (comentado).

Para Descargar el modulo, por favor haz clic aqu铆:聽Download Licensing Manager 3.1 Decoded and Nulled WHMCS

Script SHELL para generar respaldos de archivos y bases de datos via SSH

Bueno, para comenzar a dar un poco de historia al blog, me toco un cliente que me solicito, cambiar su Panel de Control Plesk, por Webmin, luego de hacer esto me pidi贸 configurar los backups (respaldos de bases de datos y archivos de los sitios web), he all铆 donde encontr茅 el problema, webmin por alguna raz贸n tenia alg煤n problema al generar backups. (asumo que son problemas de permisos locales) ya que por SSH y FTP si me dejaba crear el backup. Aunque era un backup en formato que desconozco. (es un backup propio que genera webmin con sus configuraciones. Por cuestiones de tiempo no me puse a leer la documentaci贸n para entender como desglosar el backup y sacar por un lado los archivos y por otro lado las bases de datos, asi que me puse manos a la obra y genere un peque帽o script en shell bash para generar los backups.

Entonces para seguir con el tema,聽Mi peque帽o script hace lo siguiente:

  • Obtiene la fecha actual para luego agregarla en el nombre de los backups quedando de esta manera: * all_databases_2018-09-17.sql | files_2018-09-17.tar.gz
  • 聽Crea una carpeta en el directorio /root del servidor llamada backups y da permisos 777
  • Comprime el directorio completo /var/www (con todos los sitios web que esten dentro)
  • Crea una copia de TODAS LAS BASES DE DATOS CREADAS EN EL SERVIDOR hasta ese dia (dia que se ejecuta el script)
  • Busca archivos viejos en solo esa carpeta (o backups viejos despues de 7 dias y los borra para no consumir mucho en el servidor)

Por supuesto, que esto no es mas que un script en shell, que debes copiar y guardar como backups.sh, luego proporcionar permisos al archivo con:

Ademas recuerda agregar esto como una tarea “cron job” en tu servidor para que se ejecute a diario.

Espero que les sirva. 馃檪 Salu2..

 

隆Hola mundo! – Ohh shit!!

Despu茅s de a帽os de desperdiciar el tiempo,聽 hacer mil proyecto, trabajar con mil personas de todo tipo, he decidido que es hora de re-abrir mi Blog.

En el cual estar茅 publicando temas relacionados a desarrollo web, programaci贸n, t茅cnicas hacking (que me encantan mucho), algunas cosas sobre los proyectos que voy haciendo, hosting, configuraci贸n de servidores dedicados entre otras cosas que se hacer.

La idea de mi blog es ir guardando una copia sobre mis conocimientos, pero que ademas tambi茅n le sirva a alguien mas para resolver algunos de los problemas que me voy encontrando por el camino, que a medida que voy resolviendo los voy publicando, problemas que se encontraran de seguro en el mundo del desarrollo y la configuraci贸n de hosting. Pero que ademas, ir茅 publicando algunas de mis t茅cnicas sobre hacking, las cuales me encanta explicar.

Ojo, que no me apuro, tengo a帽os que no publico absolutamente nada, as铆 que tenedme paciencia para los post.

Si realmente quieres saber mas sobre mi, te invito a ingresar en mi perfil de freelancer, el cual dejo aqui.

De igual forma a medida que pueda ir茅 d谩ndole mayor forma al blog, para ir subiendo mas informaron sobre mi y mis medios de contacto.

(este blog lo cree en 10 minutos, a las 3:00 AM del dia 09/09/2018 luego de terminar una larga jornada de trabajo ayudando a un cliente. me estaba quedando dormido.) mas tiempo me tomo en escribir este texto.