virus modifica web

Hola a todos!

Desde hace un tiempo tengo un problema con algunos sitios que tengo alojados en distintos servidores. Resulta que después de cierto tiempo se aloja un código, generalmente en el index, pero también ha pasado en el resto de los archivos, y cuando uno intenta ver la página desde un browser salta un warning!.

Les comento todo lo que hice para descartar de donde venia el problema:
1) Primeramente chequee cada una de las páginas que componen los sitios para ver si había un problema allí, pero todo estaba perfecto.

2) Los sitios estan programados de forma sencilla, html, css, muy poco de flash, includes (en php).

Hay algunos que son solo html y css y así mismo sucede esto de la modificación del código.

3) Cambié de hosting y cambié de claves de usuario.

4) Subí los sitios desde diferentes computadoras, incluso lo hice desde computadoras recién formateadas.

Verdaderamente este problema me tiene desconsertada no se que más hacer y por supuesto la gente del hosting si bien siempre me respondió no me dieron ninguna solución hasta el momento.

Por favor si alguien tiene alguna idea de que puedo hacer les agradezco muchisimo...

Los archivos aparecen modificados ?
Si tu no has sido, alguien lo ha hecho.
Tus apliaciones web permiten subir archivos ? has mirado logs ? fecha de modificacion de los archivos ?

Ten cuidado con el flash, he visto que a través de él puede modificar archivos del sitio web.

Generalmente aparece un script en javascript incrustado en el index, es evidente que algo entra y modifica los contenidos.

Además de pasarme con paginas que tienen pequeñas animaciones en flash tambien me pasa en páginas con solo html y css.

No tengo ninguna aplicación que permita cargar información.
Alguna otra idea?

Gracias por sus respuestas!

A través de los archivos de Flash pueden escribir en el contenido de tus archivos lo que deseen, no quiere decir que lo hallan hecho en tu sitio pero es una opción, sobre todo porque indicas que tienes paginas básicas

Revisate este link

http://www.theregister.co.uk/2007/12...bility_menace/

y los logs ?

Tu proveedor de hosting debería decirte desde qué IP se han modificado los ficheros, suponiendo que lo hayan hecho vía FTP.

Seguramente tengas algún virus o troyano en el PC, en el tuyo o en el de alguien que se conecta al panel de control o por FTP.

Hola, una cosa que tambien suele ocurrir, es que al copiar codigo de otras webs o javascript mismamente, este tiene incluido el tipico popup, que te salta sin saber porque, has desarrollado tu la web? la has copiado de algun template que bajaste de internet?.
Suerte

En primer lugar gracias a todos por responder y dar su opinión sobre el tema...

En su momento mi proveedor de hosting hizo un monitoreo y algo estaba entrando desde otra ip, pero hasta ahí llegó la cosa, no se si deba exigirles algo más de seguridad o que.

Como dije antes he subido el sitio desde mi pc y otras recién formateadas, solo con xp y cuteftp instalados para hacer la operación.

¿Sólo tú tienes acceso por FTP?

¿CuteFTP lo tienes legal?, si es pirata o bajado de eMule o similares podría estar manipulado para enviar los datos de acceso al hacker. O tienes una versión vulnerable, asegúrate de usar la última versión y sino usa otro, hay muchos clientes de FTP buenos y gratuitos:
http://www.softonic.com/windows/clientes-ftp-gratis

Maru77,

Hace un tiempo vi un caso similar, y se trataba de un malware que residía en la PC cliente (o sea, la tuya), por más que la persona cambiaba de proveedor le seguía sucediendo.. me temo que parece ser el mismo caso, el malware tomaba las claves y terminabas expuesta siempre al final.

Limpia tu PC al máximo, empieza por allí.

Saludos,

en mi opinion me puedo equivocar pero en tu caso lo que haria is ir viendo pagina por pagina para encontrar dicho codigo malicioso y borrarlo... se q es un coñazo pero es lo mejor que puedes hacer ya que el problema no es tu pc sino el codigo de la web... o eso o lo que haria es cojer el ultimo back up de la web q tengas que funcione bien y cargarlo haber como te va


Tambien lo que haria es lo que dice sysdebian mirar los logs hasta encontrar algo rotundamente raro por lo menos intentar seguir dicho virus los pasos que da para poder rematarlo

un saludo

MinervaH:
Usé cutftp trial descargado de la propia página, voy a probar con algún otro porque en todo caso no está de más.
Y si, solo yo accedo al FTP.

Webtech:
Probé subir la web desde mi pc recién formateada (solo con windows y cuteftp), luego lo hice desde otra también formateada, pero el problema siguió.


Codeman1234:
Me tomé el trabajo de chequear página por página de todo el sitio y no había nada raro, y cuando subo los archivos limpios al hosting me tomo el trabajo de borrar todo y cargar de cero el contenido.
Voy a ver los logs, aunque la gente del hosting está haciendo un monitoreo y las entradas de que vieron no correspondian a mi ip.

Muchas gracias por responder!!!

Si el agresor ya tiene el nombre de usuario FTP y su respectiva clave, entonces por supuesto que seguirá ocurriendo.

Lo primero que debes hacer es cambiar la clave del usuario FTP (o de todos, si es que hay más usuarios FTP), poniendo una clave robusta, de al menos 8 caracteres, combinación de letras números y algún caracter extraño como:

$ # . / % *

Luego revisa si absolutamente todo el código de la página es tuyo, o si de pronto has incrustado código de terceros, como por ejemplo algún contador de visitas, de estadísticas, etc. Cuando ese recurso no es de una fuente confiable, por allí te pueden insertar código malicioso.

Luego revisa los permisos de tus archivos. Si se trata de un hosting bajo Linux, revisa que los archivos no tengan permisos de escritura ******. Con permisos 644 debería ser suficiente.

Saludos,

Maru77
podrias darme el link de la pagina mi correo es este [email protected]
o tambien lo puedes poner aca. pero creo q pocos lo linkearian

salu2

esto parece mas facil un spy bot en tu maquina... mas si dices qe lo has hecho desde otras :S quedo on duda

Lo he visto en algunas webs, modifican index.php con un script.

Primero cambia el password por si acaso, pero en las 3 que vi, entraron por un gallery y un wordpress que no estaban actualizados. Uses los scripts que uses (blogs, foros..) mantenlos siempre actualizados a la ultima version

Si tu host tiene Fantastico, activalos a traves de este y asi los actualizará automaticamente

Q

Mil gracias a todos por responder y brindar diferentes alternativas para una posible solución...

Di por hecho lo de los permisos de escritura en el servidor, pero se lo voy a plantear puntualmente a la gente del hosting, el cambio de claves se ha hecho y son de 10 caracteres entre números y letras....

Si tengo alguna novedad les aviso.
Gracias nuevamente!!!

y cual es la pagina .. ?

Anoche estaba revisando un index.htm de un cliente mio ya que recibi un email de abuso de servicio, me enviaron imagenes que varios antivirus detectaban que habia enlace a un virus/trojan, revise el codigo de esta pagina que solo tenia un intro en flash
Despues de revisar por aproximadamente 5 a 10 mins, me di cuenta de lo siguiente:

<iframe src='http://url' width='1' height='1' style='visibility: hid ***** *** *****>

** Ojo no estoy poniendo todo el codigo por seguridad, ademas es una linea SUPER larga :P

Elimine este codigo y ya no se detectaba la supuesta descarga de virus/trojan

Busquen en su codigo por la palabra iframe, es habitual que lo usen para hackeo de sitios

Ten en cuenta que eso no es suficiente.

Se deberían revisar los permisos de ese archivo (por ejemplo, debería ser 644) y se debería modificar también la clave FTP de acceso a esa cuenta de hosting.

Saludos,

Oh claro, solo queria dejar en claro que ese iframe era el hack. Por defecto los permisos estan en 644. Y enforzamos esto con la ayuda de algunos cron jobs