.jpg?ph=756219b9ad)
VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (VII) - PUERTAS TRASERAS (IV) - DETECCIÓN
26.03.2018 21:42
Durante una revisión de rutina o una que se haga porque se sospecha que hay una o más puertas traseras presente en el sistema, deben revisarse los archivos de registros en búsqueda de determinadas palabras como son, por ejemplo, los nombres de comandos. En un servidor Apache los archivos a inspeccionar serán access.txt y error.txt.
Otros archivos presentes en el servidor deberán ser revisados en búsqueda de funciones como eval() y assert() y de funciones que puedan ser usadas para ocultar código malicioso, por ejemplo str_rot13(); base64_decode() y gzinflate().
También será conveniente buscar archivos modificados después de determinada fecha. No se debe caer en la ingenuidad de revisar sólo los archivos *.php, el código puede estar oculto en cualquier extensión de archivo. Convendrá ser particularmente meticuloso con los archivos .htaccess ya que los mismos pueden modificar las extensiones de archivo que pueden ser ejecutadas como PHP, es decir, pueden hacer que archivos cuya extensión no sea *.php sean ejecutados como PHP.
La presencia de largas cadenas codificadas en cualquier archivo deberá llamar nuestra atención ya que esas cadenas pueden estar ocultando código malicioso.
Aún en los casos en que se haga un análisis automatizado de los archivos, será necesario hacer una revisión final manual ya que habrá falsos positivos y algún problema que a los programas de revisión se les pueda escapar.
Las medidas arriba descriptas son sólo algunas de las tantas que habrá que tomar. No es la finalidad de este artículo describirlas todas.
Artículo relacionado: