turcu

Hola a todos,
tengo una consulta, ya que es la primera vez que me pasa.
Una de las paginas que tengo en uno de los planes reseller, comenzo a tirar en la busqueda de google "esta pagina puede daniar tu equipo". Luego de ver en el reporte de la pagina, veo el problema, y habia codigo malicioso en el archivo index.php del sitio, agregado por terceros. La webmaster ya hizo la limpieza del y yo pedi una revision a google, suponiendo que el problema esta solucionado.

Pregunta 1: ¿Alguien sabe el tiempo aproximado que tarda el proceso de revision y que borren el mensaje en el buscador junto a el aviso cuando se intenta abrir?

Estuve viendo un poco del tema, y al parecer puede haberse dado antes de subir las paginas (con software en la maquina), pero todo hace parecer que no fue asi.
Despues vi que puede deberse a bulnerabilidades en el codigo del sitio. Mi proveedor, me dice que la causa ha sido ajena a la seguridad de los servidores en si. Cabe destacar que estaban usando apache 4 para esta pagina, lo actualice al 5 por si esto se pudo hacer usando algun bug del 4.

Pregunta 2: ¿Es probable que se haya echo esto siendo seguro el servidor?

Aclaro tambien, que mis conocimientos en cuanto a "hackeos" de este tipo, son escasos.

Bueno, en fin, la pagina afectada es www.ligabellvillense.org.ar, y lo que aparecio es un codigo de iframe oculto, llamando a: "http : / / a3h. ru : 8080 / ts / in . cgi ? pepsi82"

Bueno, agradezco de antemano la ayuda de alguien que tenga conocimientos en este tema.

Saludos

MaxKiller

Lo normal son 48 horas en revisar los sitios. Por si acaso sigue insistiendo desde el panel de Webmaster Tools de Google.

Si se modificó el archivo original, lo más seguro es que sea un troyano que va en busca de los index.php/html/htm con permisos de escritura colocando dicho código:

Descarga, actualiza y escanea el sistema completo con Clam AntiVirus.

Saludos

turcu

Gracias MaxKiller,
lo unico que espero es que no se prolongue tanto la revision...

Saludos

ideasmultiples

Si no sigues las instrucciones y lo haces desde Webmaster Tools puede tardar hasta 1 mes.

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

turcu

Me asustas... segui las instrucciones (creo). Por lo que vi, creo que hice todo. Primero me informe sobre los posibles problemas en stopbadware.org, y los pasos a seguir, luego de reparados te indica ir al Google Webmaster Tools, en donde agrege el dominio, lo verifique (con el metatag y todo), y pedi la revision del mismo. En los comentarios (que si es un proceso automatizado, son en vano), explique el problema. Hice un segundo pedido para asegurar, y agregue a la webmaster como propietaria del dominio, la cual tambien hizo una solicitud.
Si me saltie algo, o tome el camino equivocado, con gusto escucho

Lo que aun no me queda claro, es como sucedio esto. Yo lo tomo y ayudo en la resolucion del problema, pero, sucedio por una bulnerabilidad del servidor? era porque estaba usando php 4? una bulnerabilidad del sitio en si? etc...

Saludos

MaxKiller

ideasmultiples, en este caso no hay más que hacer que pedir una revisión del sitio desde Google Webmasters Tools por que la infección no la ha localizado StopBadware.

turcu

Espero que sea asi

MaxKiller

Para asegurarme de ello, he realizado una búsqueda en la base de datos de StopBadware:

El sitio ha sido reportado por Google, así que son ellos los que tienen que volver a analizar tu sitio.

No te preocupes, verás como ese dominio sale de la lista negra pronto

ideasmultiples

Si no sigues las instrucciones y NO lo haces desde Webmaster Tools puede tardar hasta 1 mes.

Me fallaron los dedos

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

WebTech

Hace poco tuve que lidiar con un caso similar, sin embargo, no he seguido la herramienta de Webmasters de Google, solo he limpiado el código y cercano a las 36 horas el sitio ya estaba limpio en la BD de Google.

Dejo esta herramienta por si a alguien le sirve:
http://unmaskparasites.com/

Saludos,

__________________
INFRANETWORKING.COM - Web Hosting Profesional
Hosting Reseller cPanel
Servidores Dedicados: Linux y Windows, cPanel y Plesk
Administración de Servidores: Optimizaciones, Seguridad, Backups y más!

MaxKiller

Ya aparece como limpia en Google (almenos en el nodo España)

Muchas gracias Esteban, suena muy interesante, me anoto la dirección en un bookmark.

Saludos

turcu

Hola gente,
efectivamente ya esta solucionado. En menos de 24 hs. ya se habia limpiado.
Asimismo muy util la info que fueron dando, y es para tener mas que en cuenta para un futuro problema de la misma indole.

La verdad, con los tiempos, me sorprendieron ,

saludos

MaxKiller

Felicidades turcu, me alegra que se haya solucionado el problema.

Un saludo

Adsl5mb

Sï, ya está funcionando perfecto, te dejo el diagnóstico de Google Safe Browsing:
http://www.google.com/safebrowsing/d...illense.org.ar

__________________
Argentina Warez Juegos y Programas para Descargar Gratis

turcu

Gracias ,
Saludos

j2m

Una vez google a través de sus robots escanee el sitio y encuentre que ya fue removido el script malisioso te deslistará automáticamente

turcu

Reabro el tema para comentar que ha revivido el "fantasma". Se esta repitiendo el problema, ahora con otros sitios. Justamente en estos dias estube tambien renegando con lo mismo, con paginas de otras personas (en las que no tengo nada que ver, pero estan alojadas tambien a donde tengo las con problemas) por el mismo problema. Lo unico por lo que no asigno el problema directamente al proveedor (del cual espero que Dios me saque lo antes posible), es que hasta ahora no me ha pasado en ninguno de mis sitios que tengo ahi.
Como chiste, cuento que en uno de los tratamiento a una de las paginas, se me ejecuto un script js de los anexados, tuve que apagar la maquina (la cual no reaccionaba), y la misma, no arranco mas . Asi que momentaneamente tengo una PC menos.
Saludos!

WebTech

Si también te sucede en otras páginas me suena a que tienes algún spyware en tu máquina, keylogger o algo que está tomando los datos de tu FTP. Esta puede ser una causa, o sino simplemente puede tratarse de permisos excesivos a ficheros y directorios (777) o alguna vulnerabilidad de las aplicaciones que uses en los mismos... fíjate en los logs como se modificaron los archivos, si a través de Apache o bien desde el FTP, eso te dará una pauta del origen para poder investigar y solucionarlo.

Saludos,

__________________
INFRANETWORKING.COM - Web Hosting Profesional
Hosting Reseller cPanel
Servidores Dedicados: Linux y Windows, cPanel y Plesk
Administración de Servidores: Optimizaciones, Seguridad, Backups y más!

turcu

Las paginas no me pertenecen a mi... no accedo a las cuentas en ningun momento, ni tengo en mis PC, informacion de acceso a las mismas... Solo lo acceden los encargados de cada sitio (son varias personas que no se conocen entre si, algunas comparten el mismo reseller, otras tienen planes directamente con el proveedor, etc), y como dije antes, en los sitios si de mi propiedad, no tengo problemas de este tipo.
Los archivos solo tienen permiso de escritura para el owner, el cual les quito para evitar que siga el problema, lo que al parecer, soluciona el problema.
Tene en cuenta que son resellers, por lo que el acceso a los logs son limitados. Solo tengo accesible por panel, un registro de accesos, en el cual dentro de la poca informacion que brinda, no veo nada que me sirva para esto, ni me muestra nada relevante. Por ejemplo, el registro de cuando modifique el index de una de las paginas para quitarle el codigo agregado, no lo tengo en ningun lado.

En cuanto al soporte por parte de ellos (dattatec), en algunos casos es como si estubiese preguntando o reclamando cosas totalmente fuera del rubro, y siempre se sacan el lazo

Saludos

WebTech

Si no es tu PC y son varias personas, con más razón sospecharía de que haya una o más PCs infectadas.

Bien hecho! Siempre intenta que no tengan escritura, o bien subir las imágenes o archivos por FTP si es posible, salvo uses suPHP.

Si, entonces estás a merced de tu proveedor.. y eso ya lo contesté más abajo.

Un buen proveedor, se encargaría de investigar y mirar los logs del sistema, seas o no seas cliente de Hosting compartido/reseller, pero de seguro ya conoces el refrán que dice lo barato al final sale caro


Saludos,

__________________
INFRANETWORKING.COM - Web Hosting Profesional
Hosting Reseller cPanel
Servidores Dedicados: Linux y Windows, cPanel y Plesk
Administración de Servidores: Optimizaciones, Seguridad, Backups y más!