viernes, 19 de agosto de 2011

.htaccess: ocultar backdoor

Saludos,

No es raro que cuando un atacante logra vulnerar la seguridad de nuestra web éste deje un backdoor en los archivos originales de la web para poder tener acceso de nuevo en un futuro. Lo ideal es que tras un ataque se analicen todos los archivos alojados para comprobar si han inyectado algo raro, pero eso no siempre pasa en la realidad y los backdoors quedan escondidos hasta que sean utilizados.

Leyendo un paper sobre troyanos en PHP me he encontrado con una idea bastante interesante de cómo ocultar las peticiones al archivo que está infectado (en realidad exponen varias ideas que combinan pero voy a comentar esta en concreto). Lo que proponen es la creación de un .htaccess en cuyo interior haya una directiva que indique que no se logueen las peticiones a nuestro archivo backdooreado (en el caso del paper la cosa era algo diferente, por lo que he comentado antes de que usa varios métodos). Básicamente esto podríamos hacerlo con la siguiente línea:


SetEnvIf Request_URI "^/0verl0ad/XC3LL\.php$" dontlog


SetEnvIf sirve para definir variables de entorno a partir de los parámetros de las peticiones, pudiendo usar para ello los headers incluso. En este caso el atributo con el que se define es Request_URI (la URI es la parte de la URL que viene detrás del dominio). Tanto ^ como $ son parte de regexp (expresiones regulares), denotando la primera el inicio del string y la segunda el final. Por último "dontlog" es lo que indica que no loguee.

En resumen esa directiva deshabilitaría el log de las peticiones que se realicen a la URI señalada (esa URI sería donde tendríamos el archivo backdorizado).
5 0verl0ad Labs: .htaccess: ocultar backdoor Saludos, No es raro que cuando un atacante logra vulnerar la seguridad de nuestra web éste deje un backdoor en los archivos originales...
< >