Pagina web infectada

Buenos dias.

A ver os explico desde el principio, porque a mi me suena todo muy raro y ya no se a quien creer ni lo que es verdad de lo que es mentira, solo se que me estan fastidiando.

Trabajo administrando una tienda web. Esta tienda web esta hecha sobre Oscommerce. El Host/servidor es de una empresa que se dedica a eso mismo, el alojamiento web.

En esta tienda tuvimos hace 6 meses (aproximadamente), un problema, en el que fuimos infectado, segun el diseñador y la empresa de alojamiento, por culpa mia. No lo comprendia asi, pero bueno, lo deje pasar. Tuvimos sus perjuicios, como por ejemplo que google nos penalizara, bajando considerablemente las visitas y por ende las ventas.

Recientemente hemos vuelto a tener otro ataque, en este caso el virus es mas dañino. De nuevo me dicen que es por culpa mia. Limpia la pagina de virus, nos cobra y a la semana tenemos el mismo problema...

No lo veo normal y menos que siempre nos cobre y eche las culpas.

Darme vuestra opinion por favor.

Es obvio que los problemas los genera el mismo que los soluciona. Cambia de hosting y de Webmaster o aprende a hacerlo tu mismo. Es muy fácil.

¿quién se encarga de instalar el oscommerce?

¿Y de actualizar y mantener? Suele ser fallo de la web , no del servidor .Lo he visto en Oscommerce del año la pera.( Mi opinión ).

A ver yo soy quien administra el catalogo, los clientesque seregistran las compras los envios... Vamos el trabajo que genera la web.

Pero todo lo que es diseño, alojamiento, actualizaciones posibles, cambios... Todo eso es trabajo de una empresa, la cual dice que es culpa nuestra porque posicionamos la web con otra empresa y no con la suya.

Esta empresa de posicionamiento es cierto que nos tuvo que instalar un modulo de oscommerce. Para ayudar al posicionamiento de la pagina, porque lo que teniamos no era nada posicionable.

El caso es que dicen que laculpa es nuestra, pero siempre el mismo problema y nunca solucionan nada... Habra soluciones para no infectarte tantas veces del mismo modo, ¿no?

Pide un informe detallado de como se produjo la infeccion, las partes que resultaron infectadas, como se soluciono, informes de acceso de apache, etc. Pero un informe detallado de verdad. Si tu no sabes lo que dice o pone, llevaselo a algun amigo o alguien que sepa, o incluso mandame un mensaje privado para que te ayude con el tema.

Si de verdad fuese (y repito, si de verdad fuese) una infeccion, el informe detallará los errores verdaderamente. Como no lo es, y eso es lo que creo, cambiate de compañía, amenaza con denunciarles o incluso hazlo. Te están cobrando por un servicio que no has pedido, y si la página la han hecho ellos están haciendo algo ilegal al cobrarte a ti. Es denunciable, no lo olvides. Usan trucos sucios y asquerosos.

y por cierto, rellenar una web con datos y administrarla no hace para nada que el código de funcionamiento se haga vulnerable. no te rayes mucho con eso ^.^

La web empezo a infectarse modificarse por el directorio donde estan alojados los archivos de google sitemap.

El problema es que habiamos subido otros archivos al servidor y ellos se escudan en eso, que se entro por ahi debido a las vulnerabilidades creadas por nosotros.

Yo asta ahi puedo asumir nuestra parte de culpa, porque puede ser cierto, vi que empezo a modificarse por el directorio que subieron la empresa de posicionamiento, pero no comprendo como puede ser que la pagina sea infectada una y otra vez.

¿En esta situacion serviria un informe de acceso de apache?.

en apache aparece el informe... asi que si no te quieren enviar el log... te borras y te pasas a otro host mas serio.

saludos.....

Existen varias formas de "infectar" una página...

Tal y como lo cuentas, entiendo que lo que se ha visto "infectado" no es la página, sino algún archivo subido al repositorio que contiene un virus (lo cual podría hacer que se descargase dicho virus).

O incluso peor, que aprovechando un bug del OSCOMMERCE (en la versión que tengas), un agujero en el ftp o una mala política de contraseñas (susceptible de ataque por diccionario), alguien haya podido modificar el propio código PhP del OsCOmmerce, de forma que cuando accedes a uan página, intenta cargar el virus en el equipo cliente de forma automática.

Si se trata de una mala política de contraseñas, es culpa vuestra. Si se trata de que os han birlado la clave de una cuenta, es cosa vuestra. Si se trata de un fallo en el OS-Commerce, en el ftp o en el S.O., es cosa de ellos...

- Comienza cambiando todas las claves de acceso (sobre todo ftp).
- Empieza a usar conexiones más seguras (ssh/scp/sftp) para subir archivos.
- EXIGE que te digan dónde se produjo la entrada y como. Que te digan tambien si se ha visto afectado el código del os-commerce. Si es culpa de algo que hayais hecho mal, que os lo demuestren para que no vuelva a pasar... Si no, como te han dicho, cambia el hosting porque te están tomando el pelo, ya sea por desidia o desconocimiento.
- Y que se aseguren de tener el S.O. al dia de parches de seguridad, así como el os-commerce a la última versión y sin bugs conocidos.

Yo empezaría por eso...

Lo dicho! pide explicaciones más detalladas a tu servidor.

De todas maneras, que el virus entre por ahi depende de que tipo de archivo subiérais, ahi esta la clave. Si subisteis un ejecutable por ejemplo, y tuviese un virus, y el sistema operativo es linux, poco va a hacer el virusito. Si solo subiste archivos planos de texto, pues como que poco virus va a tener eso. También depende.

Y usa un antivirus! antes de subir archivos.

Hola a todos,

Soy el "responsable" de todo esto. el que gestiona el servidor y el que colocó el oscommerce al creador de este Post.

Bueno, hace 7/8 meses se infectó la Web, consiguieron entrar en el archivo htaccess, lo único que hice fue preguntarle que tipo de programa FTP utilizaban y de limpiar su propio ordenador en caso de tener algún Virus. Ya que ellos se conectaban por FTP (no se el porque)

Me hice responsable le arreglé el fallo y no se cobró nada!

Después de meses me piden que le enseñe a manejar el código fuente para hacer ellos mismos los cambios y retocar cosas. No acepté!

Desde entonces una tercera empresa o amigo, ya que a veces decían empresa y otras amigo, se encargó de subir contribuciones, no solo el sitemap, y hacer cambios en general.

Hace un mes me contactaron porqué su Web estaba infectada, me conecto al server y veo nuevas contribuciones y archivos modificados por esta "empresa", la cosa más grave que vi, es que muchos archivos estaban con permisos chmod 777.

Lo que había era un script encriptado en casi todos los archivos, lo mas fácil era restaurar con los archivos que tenia yo en mi pc, pero claro como se pusieron a manejar ellos, vete a saber tu si luego funciona o no, la copia de seguridad que hace el cpanel ya estaba infectada. Me puse a limpiar todos los archivos, pero a los 5 minutos todo volvía a estar infectado hasta que después de horas y calentamientos... me vi con un archivo .js dentro de una contribución del sitemap que se encargaba de infectar la Web.

Ahora mismo la Web esta limpia no hay archivos modificados, lo que administran mi servidor, me han cobrado 50€ porque le he pedido yo de hacer un ulterior chequeo ( cada uno su trabajo) para ver si hay algo. Y no hay nada, solo que el google una semana si y otra no da una alerta, y al pasar la herramienta que proporciona el google no detecta nada!

Por cierto, esta vez después de haberle dedicados horas y horas, festivos incluidos, por algo de lo que no soy responsable he pasado una factura.

Le he propuesto que le migro todo al prestashop a costo 0, ya que entiendo que el oscommerce es un caso perdido, y también porque me interesa tener buenas herramienta en mi servidor, pero me cometa que ya tiene compromisos con esta "empresa".

Un saludo

Para mi está aclarado el tema...

En este caso, y visto lo visto, a lo mejor es a tí a quien no le interesa continuar alojando la página en cuestión (por temas de imagen, sobre todo).

Al menos no sin un contrato de mantenimiento en regla... No hay nada que meta mas miedo que una "empresa/amigo" que no domina un tema y mete mano en todo.

Lo que estoy viendo señores de verdad es que me tiemblan las manos!!!! Ya se quien es la presunta empresa o el presunto amigo!!! es muy facil saberlo, es suficiente ller todos los mensajes que hay en este foro!!!

Pero lo que me ha matado y me ha dejado muerto es esta publicación donde publica el archivo de configuracion del oscommerce con rutas usuario mysql contraseñas, que alguien que se maneja un poco puede sacar el dominio.

De momento voy a suspender la Web y le envió una mail!!!!

aquí tenéis el reato
http://www.forosdelweb.com/f54/no-abre-mi-tienda-online-con-easyphp-873599/

Luego se queja !!!!