vicman21

Saludos a esta gran comunidad de ayuda.

Les doy los detalles del asunto:

Resulta que soy webmaster y en algunos de los sitios que administro tengo instalados 5 portales cms (en php nuke 7.9), y desde hace algunas semanas, tengo problemas con un virus troyano que se descarga al abrir cualquiera de los 5 sitios alojados en el mismo servidor; y solo sucede con IE explorer (usuarios y visitantes de quejan de esto), no sucede con firefox. Me dí a la tarea de buscar algún código malicioso en los archivos alojados y bases de datos de los sitios y no se encuentran en estos (estan limpios).

El código malicioso qu encontré se descarga de alguna manera poco antes de abrir alguno de estos sitios web que tengo alojados (algo asi como un redireccionaminto) este código es el siguiente.

Lo que hise mientras arreglo esto fue desactivar el sitio y base de datos y poner un simple index html pero el problema continua igual.

al abrir el sitio; previo a descargar mis archivos conocidos que tengo alojados pertenecientes al sitio web backgenerationsradio.com (mi sitio original y dominio). IE explorer descarga archivos ajenos en los temporales que son desconocidos, que provienen de sitios desconocidos de dudosa reputación aquí les dejo la imágen (notese beladen.net sitio dudoso).


i39.tinypic.com/xmrc48.jpg


estos archivos se descargan previo a abrir el sitio original y sucede de forma intermitente, hay ocasiones en que los sitios trabajan normalmente

Es de de llamar la atención que una cookie de descarga de googleanalytlcs.net (NOTESE que este sitio no es de GOOGLE y googleanalytlcs.net esta escrito como googleanalytlcs.net con L minúscula sustituyendo la i latina.

cuando infectó mi pc corrí el Malwarebytes' Anti-Malware

y detectó registros infectados

como estos:


Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

otro aviso que dá el IE explorer es el siguiente:

i39.tinypic.com/dvqz3m.jpg

La pregunta es: será algún problema de seguridad del servidor? (por cierto el servidor es muy malo )que tenga que ver con los DNS. O acaso los dominos fueron robados aunque ya verifique los dns y son correctos

Ustedes que opinan ojala puedan ayudarme a descifrar esta "maraña"

ideasmultiples

Tu problema está en tu máquina, no en el servidor, ¿todos tus programas son originales?

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

Apolo

Te sugiero que pases un buen software anti-virus y luego un buen software anti-spyware por tu PC.

Luego cambia inmediatamente las claves de acceso FTP de tu cuenta de hosting.

Luego limpia el código malicioso que haya podido ser inyectado en archivos de tu sitio Web, empezando, claro, por el "index" y cualquier "include" que haya dentro de él.

Pide asistencia a tu proveedor de hosting. Si dices que es "malo", entonces contrata el servicio con un mejor proveedor.

Saludos,

__________________
´
Visita dinahosting para tus dominios, hosting, VPS, y servidores dedicados. Registro de dominios acreditado por la ICANN.

vicman21

A que te refieres con que esta en mi máquina?, y sí, todos son originales.


El problema es que nu reseller donde tengo alojados esos dominios y todos lo visitantes nuevos o usuarios de esos sitios se les descarga el troyano.

vicman21

Saludos apolo

ya revise todos los index bases de datos, cambie password de ftp, limpie mi maquina minuciosamente etc etc. imcluso desactivé los sitios y subi un simplisimo html y el problema continua, lo que no he hecho es hablar con el porveedor de reseller, por que en este mes me voy.
De que otra manera me podrian estar atacando el servidor?

ideasmultiples

Lo que infecta tus webs es TU MAQUINA, no el servidor, sucede muy amenudo cuando se usan programas piratas de diseño, S.O. y antivirus (si, tambien hay antivirus piratas ), no digo que sea tu caso, pero frecuentemente es el origen del problema.

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

f.villalba

Antes de pasarlo, desactiva la opción de restaurar sistema en Windows XP o en Vista por seguridad.

Anti-Virus

Nod32
BitDefender
Kaspersky

Anti-Spyware

Ad-aware
Spybot Search & Destroy

Y no estaría demás que pasaras CCleaner para limpiar un poco.

Saludos,

__________________
Hosting Multidominio Económico en España

vicman21

Hay otra persona que tiene acceso al ftp de estos sitios, (el es mi cliente)
seguramente tuvo algo que ver en esto

ideasmultiples

Es posible, pero ten en cuenta que siempre es una máquina que accede por FTP, por cierto los password de acceso a ese sitio, y probablemente todos los que se usen en la máquina en cuestion, ya deben de estar hasta en las páginas amarillas , cámbialos INMEDIATAMENTE desde una máquina que estés seguro que está limpia.

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

vicman21

Cuando me referí a que esta persona tiene acceso al ftp. quise decir que el tambien sube y modifica archivos de estos sitios cuando no estoy desde su propia máquina, y si voy a cambiar datos lo más pronto posible

gracias por la ayuda

MaxKiller

¿El servidor bajo que sistema operativo está? Posiblemente el problema esté en tu servidor.

Anda que no hay virus que una vez ejecutados empiezan a rastrear archivos con permiso de escritura para incrustar código malicioso (normalmente códigos JS/ActiveX)...

Saludos

Apolo

Sí podría ser una posibilidad.

Recuerdo que hace un par de años una vulnerabilidad en Fedora afectó a muchos sitios Web, infectándolos con código malicioso.

Saludos,

__________________
´
Visita dinahosting para tus dominios, hosting, VPS, y servidores dedicados. Registro de dominios acreditado por la ICANN.

MaxKiller

Sin ir más lejos, hace un par de meses en Powweb ocurrió esto.

Saludos

WebTech

Los administradores de sistema del server deberían ayudarte a buscar el código, no es nada difícil si se identifica un patrón determinado en cada cadena.

Otro punto, intenta evitar el uso de PHP-Nuke, de las miles de aplicaciones pre-fabricadas que hay en internet, esta es una de las que siempre ha tenido más vulnerabilidades.

Hace poco nos sucedió algo parecido con un cliente, y efectivamente, el problema estaba en su PC que tenía mil bichos dentro.

Saludos,

__________________
INFRANETWORKING.COM - Web Hosting Profesional
Hosting Reseller cPanel
Servidores Dedicados: Linux y Windows, cPanel y Plesk
Administración de Servidores: Optimizaciones, Seguridad, Backups y más!

ideasmultiples

No me quieren creer

Tengo unos cuantos casos documentados y el problema es de la parte del usuario, si fuera de la parte de servidor TODAS las web estarían infectadas.

Insisto, busca un dreamweaver pirata, se lo que digo

Tengo localizadas 3 varias variantes del mismo, las 3 sólo infectan los index.*
Una infecta en el pie, la otra en la cabecera con un body onload, y la última en la primera línea despues de body.

Es posible que sea un solo troyano con varios sistemas de ataque, el contenido original en el disco del cliente NO está infectado, el troyano hace la infección en el momento de publicar y tambien comprueba aleatoriamente las webs a las que tiene acceso y las infecta nuevamente cada 2 o 3 días, si lo modificas externamente no lo vuelve a infectar hasta que se vuelve a publicar desde la máquina de origen, los password pasan a una red de máquinas infectadas, pero no parece que la infección se haga desde otra máquina.

Asumo que ademas se encragara de pasar los datos de los contactos y probablemente algunos password.

Pronto más info

__________________
ideasmultiples.com Parallels Service Provider Silver Partner servidores VPS H/SaaS para empresas.
im-global.net Nodos Virtuozzo administrados y Monitorizados, venta de Licencias Plesk y Virtuozzo.
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

vicman21

Está en linux (por cierto esta empresa después de contratar con ellos,la investige al empezar a detectar fallas y carencias, y resultó de las que tienen peor reputación, "dicen ke lo bara)to sale caro"

En este mes termina mi contrato con ellos , hise respaldos, y borre ya los portales, voy a migrar a joomla. subi sólo un archivo index al sitio, voy a ver como se comporta en estos dias, si persiste el problema, me atrevería a decir que es el servidor, por cierto el reseller que me rentaron nunca me activaron la función mail, dado que otro cliente compartido, hacia spam, y nunca me avisaron de eso, que mal servicio dan ahi en verdad.

vicman21

en este mes cumplo un año con ellos, y mande miles de quejas por "helpdesk" y nunca ayudaron en nada, más que nada esto lo hago para prevenir futuros problemas, y tomar experiencia de esto.

el año pasado hubo un problema muy grave en ese servidor, tan grave que al abrir los sitios, los archivos con extension php se descargaban como archivos comunes, (como si fuera un zip o algo similar) INCLUSO EL ARCHIVO CONFIG.PHP del portal se descargaba y se podia leer via navegador cualquier usuario podia leerlo tan solo con linkear el config.php!!!!!!, terrible terrible

vicman21

Aqui hay algunos links en inglés que hablan de este preciso código malicioso en especial, pero lo mismo, no encuentran el dichoso codigo tal pareciera que sale como por arte de magia


vbulletin.com/forum/showthread.php?t=307207

photography-forum.org/showthread.php?t=31068

saludos y gracias

WebTech

Creo que la experiencia ya la tienes, ahora.. me pregunto... ¿por que todavía sigues con un proveedor que no te da un buen servicio? ¿masoquismo?

Saludos,

__________________
INFRANETWORKING.COM - Web Hosting Profesional
Hosting Reseller cPanel
Servidores Dedicados: Linux y Windows, cPanel y Plesk
Administración de Servidores: Optimizaciones, Seguridad, Backups y más!

vicman21

Buenos pues les informo las acciones que hise últimamente, cambié pases de accesos, ftp etc, respalde archivos y bases de datos, borre los archivos de los 5 sitios alojados en el servidor (prácticamente no hay nada solo un html un flash e imágenes).

Pero resulta que algunos usuarios que usan el antivirus AVAST , este antivirus les manda alerta de rastros de troyanos (JS:cruzer-C) en algúnas imágenes (banners)JPG.


Sera´que estas imágenes hayan sido infectadas por el problema antes especificado? o son falsas alertas?, se dice que avast tiene problemas de "falsos positivos".

saludos