Troyano en mi web

Hola amigos, hace algún tiempo al entrar en mi web (en la página principal)
me avisaba el antivirus (Karpersky) que habí*a un troyano y abortaba la conexión
con la página, me resultó raro pero dejó de ocurrir y no le preste más
atención; pero actualmente lleva tiempo ocurriendo algo similar al
intentar acceder a la página donde se encuentra el panel de control de la web,
creado por mi mismo, y es que me salta el antivirus (en esta ocasión es Avast)
avisándome de un troyano: Win32:Agent-MFK [Trj]. Aclaro que no existe conexión con ninguna página externa que pudiera pensarse que es por ella (ni anuncios externos).

Mi servicio de hosting me solucionó el problema, existía un código Javascript incomprensible y muy extenso, del que tengo una copia, el cual no he insertado (nadie más tiene acceso ftp) y que provocaba el problema.

Quisiera saber si a alguien le ha ocurrido algo similar o si tiene idea de como ha podido ocurrir, sobre todo como evitar que ocurra de nuevo. Gracias.

Tema movido desde el foro Web general hacia el foro Virus, troyanos y spyware.

Según lo que comentas, alguien inyectó código malicioso en algún archivo de tu sitio Web. Revisa el código de tu sitio. Ocurre muchas veces que se copia y pega fragmentos de código, así nada más, sin revisarlo, y termina siendo un código inseguro o a veces un código malicioso en sí mismo.

Revisa también los permisos de los archivos. Si estamos hablando de un servicio en Linux, los permisos 644 deberían ser suficientes.

Tuvimos recientemente un caso de un cliente, similar al tuyo, en donde encontramos que lo que ocurría es que el atacante logró encontrar/adivinar la clave FTP y por allí estaba modificando el archivo para inyectar el código malicioso. Te aconsejo que cambies de todas formas la clave de acceso FTP, por una bien robusta, de mínimo 8 caracteres y combinación de números y letras mayúsculas y minúsculas.

Saludos,

Buenas.

A mí pasó lo mismo. Los del hosting me dijeron que son ataques externos que tienen éxito debido a agujeros de seguridad, que acceden con inyecciones SQL a la máquina y cambián todos los indexs que hay en el servidor.

Me dijeron que todas estas aplicaciones prefabricadas (CMS), suelen ser puerta de entrada para estos ataques, y que entrando en uno de los hostings del servidor pueden afectar a otros. Por lo tanto, si utilizas algún CMS estate atento para actualizar todos los fixes de seguridad. Y si no lo usas y el problema persiste, piensa en cambiar de hosting.

En mi caso el agujero provenía de un php-nuke que había instalado en el mismo servidor (y que por cierto, no se estaba utilizando). Por suerte era un servidor dedicado y se eliminó el nuke sin ningún problema.


Es todo lo que te puedo decir sobre el tema. Posteé el problema aquí en el foro pero no obtuve respuesta. Tampoco indagué mucho más porque el problema se solucionó.

Un saludo

Gracias Apolo y franquero. Me comentan en mi servicio de hosting que el cambio en los index ha sido via FTP, desde un pais diferente al mio. Revisaré mi PC, las páginas, los permisos y cambiaré las contraseñas. Espero que no vuelva a tener problemas. Un saludo a ambos! :)

Hola sty,

Entonces resultó siendo el mismo caso que nuestro cliente: lograron el acceso por FTP. Te recuerdo entonces mi consejo, de poner una clave de al menos 8 caracteres, con combinación de números y mayúsculas y minúsculas.

franquero, para una próxima oportunidad, el foro de Web Hosting también te podría ser útil.

Saludos.

Hola Que Tal Como Estan, Un Cordial Saludo.

En Estos Momentos Yo Tengo Un Problema Similar, Debajo De La Etiqueta Body Me Aparece Un Codigo Javascript Que No Pongo Yo, Este Script Manda Llamar Un Archivo .js, Claro Que El Antivirus, El Nod 32 Me Marca Virus En El Sitio.

Este Es El Dominio, Alguien Me Podra Ayudar?

Hola,

Pues obviamente suprime ese código y sigue los consejos que encuentras en este mismo tema.

Si el sitio Web lo tienes hospedado en un servidor Linux, fíjate que ese archivo no tenga permisos más allá de 644, y pide asistencia a tu proveedor de hosting.

Saludos,

Bueno si, la cuestion es que la pagina cuando la tengo en la pc, no tiene ese codigo exactamente abajo del body, pero cuando la subo al servidor, ya en linea, es ahi cuando aparece.

este es el dominio

www.hispaliclinique.com

Por favor lee en detalle mi respuesta y mis recomendaciones.

Obviamente la vulnerabilidad está siendo explotada desde el servidor Web, bien sea por las explicaciones que di, o por alguna vulnerabilidad inherente al código de tu sitio Web.

Saludos,

Bueno yo vengo de poner algo similar en otro post pero creo que me pasa lo mismo, es un codigo que se instala en las index.php e index.html del sitio esternamente. nadie tiene acceso por ftp. estuve leyendo y es como dicen, son vulnerabiliodades del php, yo uso phpnuke y phpbb3 simulataneamente y me paso en las dos secciones, ahora cuando navegan les salta el antivirus a los socios.

Hay algo que se pueda hacer, no para borrarlo sino para evitar que se ejecute ese codigo?