Necesito ayuda para descifrar código malicioso en hosting y dominio - Página 2

vicman21 · 25-jun-2009, 01:41

Finalmente encontramos la causa del troyano que posiblemente los mismos tecnicos del servidor inyectaron el codigo sin darse cuenta que sus maquinas estaban infectadas, y fue un Ataque a servidor apache y como casi siempre los clientes tienen el 99% de la culpa al infectar sus sitios web, en esta ocasión no fue así, despues de migrar bases de datos y archivos a otro servidor de otra empresa, mi problema se solucionó, yo realmente lo siento por los hospedajes compartidos de este servidor que probablemnte sufrieron ataque de troyano, ya que dudo mucho que los provedores de hosting y reseller de esta seudoempresa reconozcan su error (por prestigio ).

despues con tiempo les paso todos los detalles técnicos del ataque a servidor apache que sufrio este server.

saludos

MaxKiller · 25-jun-2009, 01:56

Cita:

Iniciado por vicman21

Finalmente encontramos la causa del troyano que posiblemente los mismos tecnicos del servidor inyectaron el codigo sin darse cuenta que sus maquinas estaban infectadas, y fue un Ataque a servidor apache y como casi siempre los clientes tienen el 99% de la culpa al infectar sus sitios web, en esta ocasión no fue así, despues de migrar bases de datos y archivos a otro servidor de otra empresa, mi problema se solucionó

¡Acerté! Quiero mi premio.

Cita:

Iniciado por ideasmultiples

Tu problema está en tu máquina, no en el servidor

¡Cabezón!

Ahora en serio, me alegro muchísimo que hayas podido librarte de esos bichos vicman21

Por cierto, ¿te importaría decirnos el nombre de esa empresa? Más que nada para estar atentos.

Saludos

ideasmultiples · 25-jun-2009, 02:19

Cita:

Iniciado por MaxKiller

¡Acerté! Quiero mi premio.

¡Cabezón!

Ahora en serio, me alegro muchísimo que hayas podido librarte de esos bichos vicman21

Por cierto, ¿te importaría decirnos el nombre de esa empresa? Más que nada para estar atentos.

Saludos

No se trata de acertar o no, como te dije el problema está en la máquina que subio los ficheros de su web infectados, no en el servidor, no insistas....

A menos de que el servidor NO tenga ningúna configuración de seguridad, y el usuario de permisos de lectura escritura a todo el mundo ens a sus páginas es tipo de infección no se propagan entre las web, ese no es su objetivo, indudablemente si los administradores del servidor son unos negas, y entran por ftp a ver las webs de sus clientes, sin duda que tambien las infectarán....

vicman21 · 25-jun-2009, 02:39

Cita:

Iniciado por MaxKiller

¡Acerté! Quiero mi premio.

¡Cabezón!

Ahora en serio, me alegro muchísimo que hayas podido librarte de esos bichos vicman21

Por cierto, ¿te importaría decirnos el nombre de esa empresa? Más que nada para estar atentos.

Saludos

digitalserver.com.mx

Altamente NO recomendable

Porfavor chequen este documento, que fue la clave para descifrar el asunto. es exactamente lo que ocurria en este servidor
descarga PDF (ingles)

zshare.net/download/618247206c0ca4d2

MaxKiller · 25-jun-2009, 03:41

Cita:

Iniciado por ideasmultiples

A menos de que el servidor NO tenga ningúna configuración de seguridad, y el usuario de permisos de lectura escritura a todo el mundo ens a sus páginas es tipo de infección no se propagan entre las web, ese no es su objetivo, indudablemente si los administradores del servidor son unos negas, y entran por ftp a ver las webs de sus clientes, sin duda que tambien las infectarán....

En el documento PDF que colgó vicman21 se puede ver que el script PHP cuando se ejecuta comprueba si alguna de estas funciones están habilitadas:

Código:

  $func_list = array( 
             "popen", 
             "proc_open", 
             "shell_exec", 
             "exec", 
             "passthru", 
             "pcntl_exec" 
           );

El script ya ha infectado al Apache, redirigiendo algunas peticiones e inyectando código malicioso "en el aire" (en el output, sin modificar los archivos originales).

¿Que alguien ha subido ese script? Está claro, no se va a crear solo. Lo que yo quería decir, es que si vicman21 revisó y resubió mil veces los archivos (NO infectados) al servidor, y al tiempo aparecen infectados, el problema está en el servidor, NO en su máquina. La conclusión es que otro cliente previamente subió ese troyano y como la compañía de alojamiento no hacía nada, pues ahí sigue ejecutándose e inyectando códigos.

PD: El "¡Acerté!", seguido de un "Quiero mi premio

", lógicamente, como creo que todos han podido suponer, es en tono de broma.

vicman21 · 25-jun-2009, 04:10

Cita:

Iniciado por MaxKiller

En el documento PDF que colgó vicman21 se puede ver que el script PHP cuando se ejecuta comprueba si alguna de estas funciones están habilitadas:

Código:

  $func_list = array( 
             "popen", 
             "proc_open", 
             "shell_exec", 
             "exec", 
             "passthru", 
             "pcntl_exec" 
           );

El script ya ha infectado al Apache, redirigiendo algunas peticiones e inyectando código malicioso "en el aire" (en el output, sin modificar los archivos originales).

¿Que alguien ha subido ese script? Está claro, no se va a crear solo. Lo que yo quería decir, es que si vicman21 revisó y resubió mil veces los archivos (NO infectados) al servidor, y al tiempo aparecen infectados, el problema está en el servidor, NO en su máquina. La conclusión es que otro cliente previamente subió ese troyano y como la compañía de alojamiento no hacía nada, pues ahí sigue ejecutándose e inyectando códigos.

PD: El "¡Acerté!", seguido de un "Quiero mi premio

", lógicamente, como creo que todos han podido suponer, es en tono de broma.

Mira que tu premio es que tienes toda la razón en los hechos, revizé y volví a subir archivos no infectados viarias veces, pero el simple hecho de que algún vistante a cualquiera de los sitios alojados en el servidor infectado(vía IEexplorer) descargaba troyanos, de hecho tuve reportes de los visitantes que sus antivirus (avast y mcafe)detectaban troyanos en cualquier extensión de archivo común, llámese, jpg, gif, png, swf (flash), htm ,etc. y cualquier otra extension, pero en si los archivos no estaban infectados, simplemente el troyano se descolgaba al abrir el sitio como salido de la nada y revize todos mis archivos index, carpetas como includes y jamás encontre nada, los archivos en mi máquina local eran normales, pero una vez en el servidor parcieram estar infectados. De hecho los dominios que tenía alojados en ese servidor al hacer redireccionamientos a sitios web alojados en otros servidores de otras empresas, el troyano se descolgaba como si existierta en esos servidores. Pero no fue así, de alguna manera el servidor infectado también mandaba el troyano en simples redireccionamientos de dominios a sitios web alojados en otros servidores insisto todo volvió la normalidad, cuando migre bases de datos y archivos y cambié los dns de los dominios a puntados a nuevos servidores de distinta empresa.

ideasmultiples · 25-jun-2009, 08:12

No quiero volver a insistir en el tema, desde el principio indique que los archivos en la máquina original, NO están infectados, se infectan en el momento de subirlos por FTP, y el troyano de la máquina los va infectando cada cierto tiempo mientras tenga acceso ftp.

Segundo, para hacer lo que le hacia el servidor NO NECESITA NINGUN CODIGO PHP con una línea de javascritp es suficiente, no necesitan PHP para funcionar

Bueno cada loco con su tema, cuando se te vuela a infectar avisas...

ideasmultiples · 25-jun-2009, 08:21

Cita:

Iniciado por MaxKiller

En el documento PDF que colgó vicman21 se puede ver que el script PHP cuando se ejecuta comprueba si alguna de estas funciones están habilitadas:

Código:

  $func_list = array( 
             "popen", 
             "proc_open", 
             "shell_exec", 
             "exec", 
             "passthru", 
             "pcntl_exec" 
           );

El script ya ha infectado al Apache, redirigiendo algunas peticiones e inyectando código malicioso "en el aire" (en el output, sin modificar los archivos originales).

¿Que alguien ha subido ese script? Está claro, no se va a crear solo. Lo que yo quería decir, es que si vicman21 revisó y resubió mil veces los archivos (NO infectados) al servidor, y al tiempo aparecen infectados, el problema está en el servidor, NO en su máquina. La conclusión es que otro cliente previamente subió ese troyano y como la compañía de alojamiento no hacía nada, pues ahí sigue ejecutándose e inyectando códigos..

Lo que tu está planteando, como te indique antes, en un servidor medianamente bien configurado no es posible de hacer, el usuario "apache" que con el que corre el httpd, no tiene privilegios de escritura en un archivo excepto si el usuario lo ha marcado como "lecurra-escritura" para todos, cosa que sería una tremenda estupided por parte del mismo.

Las funciones que indicas se comprueban, exclusivamente, para ver como se puede ir a ejecutar un comando de sistema, escriben su script en el /tmp y luego si pueden lo ejecutan, para poner un bot,eso es lo más viejo del mundo, pero de hay, a ir añadiendo código en páginas a las que no tiene acceso, es otro cantar....

MaxKiller · 25-jun-2009, 14:20

Cita:

Iniciado por ideasmultiples

No quiero volver a insistir en el tema, desde el principio indique que los archivos en la máquina original, NO están infectados, se infectan en el momento de subirlos por FTP, y el troyano de la máquina los va infectando cada cierto tiempo mientras tenga acceso ftp.

Segundo, para hacer lo que le hacia el servidor NO NECESITA NINGUN CODIGO PHP con una línea de javascritp es suficiente, no necesitan PHP para funcionar

Bueno cada loco con su tema, cuando se te vuela a infectar avisas...

Te equivocas. No se infectan en el momento de subirlos al FTP.

Los archivos subidos no llegan a modificarse nunca, es el troyano que inyecta el código malicioso al output del Apache "en tiempo real".

En lo segundo, ¿estás seguro de lo que dices? ¿Me estás diciendo que un código Javascript tiene acceso a las funciones PHP exec y proc_open para hacer un hook al Apache? Recuerda que se ejecuta en el lado del visitante...

ideasmultiples · 25-jun-2009, 17:31

Cita:

Iniciado por MaxKiller

Te equivocas. No se infectan en el momento de subirlos al FTP.

Los archivos subidos no llegan a modificarse nunca, es el troyano que inyecta el código malicioso al output del Apache "en tiempo real".

sonrrio nada más...

Cita:

En lo segundo, ¿estás seguro de lo que dices? ¿Me estás diciendo que un código Javascript tiene acceso a las funciones PHP exec y proc_open para hacer un hook al Apache? Recuerda que se ejecuta en el lado del visitante...

NO, que un simple javascript te redirecciona a una nueva página directamente, ese es el código inyectado...

f.villalba · 25-jun-2009, 17:57

Cita:

Iniciado por ideasmultiples

NO, que un simple javascript te redirecciona a una nueva página directamente, ese es el código inyectado...

Puedo afirmar que si es así, un código JavaScript te redirecciona a activar un ActiveX para que lo instales si eres un tozudo.

Cuando aprendía, una vez que no tenía ni p... idea, entrando a una página X te decía que instalaras un mágico software para poder ver dichos videos X, y un javascript te redireccionaba a un ActiveX para que aceptases el maldito botón de instalar, y allí, es cuando te infectabas.

Esto como anécdota, me paso en mis inicios en la informática, más exactamente en la www.

Tiempos aquellos…

Saludos,

MaxKiller · 25-jun-2009, 18:12

Cita:

Iniciado por ideasmultiples

NO, que un simple javascript te redirecciona a una nueva página directamente, ese es el código inyectado...

Que el código Javascript es el que redirecciona, está claro. No lo hace por telepatía.

Sobre esto otro:

Cita:

Iniciado por ideasmultiples

Segundo, para hacer lo que le hacia el servidor NO NECESITA NINGUN CODIGO PHP con una línea de javascritp es suficiente, no necesitan PHP para funcionar

Vuelves a equivocarte. Claro que no hace falta usar PHP para redireccionarte, puedes poner tú mismo el código Javascript en un HTML, llamarlo y listo.

Lo que te estoy diciendo es que ese código PHP es el que inyecta automáticamente el código Javascript a las páginas que el proceso Apache sirve. Páginas que sus archivos no han sido modificados.

Te vuelvo a repetir para que sonrías, que es sano: en ningún momento se modifican los archivos originales.

¿De verdad quieres seguir discutiendo?

f.villalba · 25-jun-2009, 18:33

No es necesario redireccionar con JavaScript, con HTML se puede perfectamente mediante este código:

<meta http-equiv="refresh" content="0;url=http://www.url.com/" />

content: Segundos que tarda a redireccionar.
url: Dirección del archivo.

Como os complicáis la vida algunos.

Saludos,

MaxKiller · 25-jun-2009, 18:36

Cita:

Iniciado por f.villalba

No es necesario redireccionar con JavaScript, con HTML se puede perfectamente mediante este código:

<meta http-equiv="refresh" content="0;url=http://www.url.com/" />

content: Segundos que tarda a redireccionar.
url: Dirección del archivo.

Como os complicáis la vida algunos.

Saludos,

Ferran, la redirección a la que nos referimos Fernando y yo es Javascript por que de alguna manera está encriptado el código.

Saludos

WebTech · 25-jun-2009, 19:01

Cita:

Lo que te estoy diciendo es que ese código PHP es el que inyecta automáticamente el código Javascript a las páginas que el proceso Apache sirve. Páginas que sus archivos no han sido modificados.

Te vuelvo a repetir para que sonrías, que es sano: en ningún momento se modifican los archivos originales.

¿De verdad quieres seguir discutiendo?

Creo que no hay más punto de discusión, te doy la razón MaxKiller

, casi seguro el problema se debe al Random JS Toolkit

Hace un tiempo un cliente nos contrató para administrarle un servidor y limpiarle el sistema, recuerdo que uno de nuestros adminstradores logró dar con el problema, se trataba de un rootkit que infectaba toda petición hacia Apache.

La redirección se realiza por javascript que es inyectado en tiempo real, pero que no puede ser rastreado ya que crea un código aleatorio directamente desde la memoria, esta infección es a nivel de Kernel. Desde el DC de seguro les será más barato formatear la máquina que limpiar el sistema, ya que debe bootearse con un live cd/dvd y realizar varias tareas para remover la infección.

Existen algunas variantes de este script, una de las formas más seguras de saber si uno está infectado o no, es correr esta línea, dejarla varias horas y luego analizar el resultado:

Código:

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

Saludos,

MaxKiller · 25-jun-2009, 23:07

Cita:

Iniciado por WebTech

Existen algunas variantes de este script, una de las formas más seguras de saber si uno está infectado o no, es correr esta línea, dejarla varias horas y luego analizar el resultado:

Código:

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

Muchas gracias por el comando Esteban, me lo anoto por si acaso

Saludos

ElBarto · 26-jun-2009, 05:35

Mira amigo, lo ideal y te lo digo por experiencia, es que borres todos tus archivos o examines uno a uno cada archivo, php, htm, html, txt, js, ya que esto es una inyeccion por js de sitios me imagino chinos, probablemente explotaron algun archivo de tus sitios, por lo general los que tienen permisos 666 y 777, aunque tengo una teoria que usan un fallo en el codigo de adsense para inyectar este codigo en tus archivos.

Si en fire no lo detectaste, verifica en tu cuenta de web master de google ya que ahi veras las advertencias, y si las tienes pues apurate o te banean el sitio, a mi me ha costado levantar un sitio de esa situacion y es un foro vb , si tienes mas dudas mandame un privadin.

saludos.

WebTech · 26-jun-2009, 12:46

Cita:

Iniciado por ElBarto

Mira amigo, lo ideal y te lo digo por experiencia, es que borres todos tus archivos o examines uno a uno cada archivo, php, htm, html, txt, js, ya que esto es una inyeccion por js de sitios me imagino chinos, probablemente explotaron algun archivo de tus sitios, por lo general los que tienen permisos 666 y 777, aunque tengo una teoria que usan un fallo en el codigo de adsense para inyectar este codigo en tus archivos.

Esto que has comentado no le servirá de nada, sirve para inyecciones de código comunes y corrientes, pero no para algo tan sofisticado como esto. Como afirmé antes, el problema es bastante más complicado, esto no es una infección a nivel de archivos físicos, se infectan a nivel lógico en memoria justo cuando son despachados por Apache. La infección, posiblemente, se debe al uso de un kernel antiguo.

Cita:

Iniciado por MaxKiller

Muchas gracias por el comando Esteban, me lo anoto por si acaso

Saludos

Espero te sirva Max, notarás la infección por las cadenas de código que salen en pantalla, aunque cuidado pues también te mostrará cualquier otro JavaScript ejecutado en el sistema

Saludos,

ElBarto · 27-jun-2009, 00:20

No es tan sofisticado, yo lo hice asi y asunto arreglado, tuve que cambiar de host por medidas de seguridad, pero ese codigo no es tan sofisticado, acceden mediante alguna carpeta con permisos 777, suben un script de ftp en php y dependiendo de la seguridad del servidor ejecutan la inyeccion del codigo y listo.

para cceder a la memoria necesitarian el user y el pass de root, y no creo que en alguna distro de linux eso se consiga como pan, si es windows lo entenderia.

Por lo regular el joomla, post nuke y php nuke son muy vulnerables y mas si ponen plantillas full.

Como dije eso me paso con un sitio que me lo tiro incluso google envio alerta de ban

borrando y resubiendo todo, asunto mas que arreglado.

Si los archivos se infectan al subirlos nuevamente, entonces quiere decir que el script php esta en alguna de las carpetas raiz del sitio, ahi lo que se puede hacer es borrar el sitio entero y volverlo a configurar.

Todo eso yo ya lo sufri y asi lo arregle , y fue en sitios con joomla y wp, tambien tengo una sospecha que esto se propaga con el adsense, pero me dio paja hacer un estudio mas detallado, pero casi un 60% que algo hay de eso.

MaxKiller · 27-jun-2009, 00:40

Cita:

Iniciado por ElBarto

pero ese codigo no es tan sofisticado, acceden mediante alguna carpeta con permisos 777, suben un script de ftp en php y dependiendo de la seguridad del servidor ejecutan la inyeccion del codigo y listo.

Ese rootkit no hace lo que dices...te lo explicó bien WebTech. Lee y comprende el código PHP que subió vicman21.

Cita:

Iniciado por ElBarto

para cceder a la memoria necesitarian el user y el pass de root, y no creo que en alguna distro de linux eso se consiga como pan, si es windows lo entenderia.

Hay vulnerabilidades que permiten hacer un bypass en la autenticación (escalado de privilegios) sin necesidad de contraseña, modificando la memoria.

Cita:

Iniciado por ElBarto

tambien tengo una sospecha que esto se propaga con el adsense

¿Qué tiene que ver Google AdSense con esto? AdSense es un código Javascript que se "incrusta" en tu sitio web y su única conexión es a los servidores de Google, siempre desde el lado del visitante. No le veo relación...la verdad.

Saludos