Foros del Web » Soporte técnico » Virus, troyanos y spyware »

Un Virus, troyano y/o spyware puede "hackear" un sitio?

 Estas en el tema de Un Virus, troyano y/o spyware puede "hackear" un sitio? en el foro de Virus, troyanos y spyware en Foros del Web. Resulta que el sitio de un cliente, el sábado y esta madrugada, fue hackeado. Aparecieron algunos archivos dentro de la laiz del sitio con diversas ...
  #1 (permalink)  
Antiguo 03/02/2005, 13:10
Avatar de AlZuwaga
Colaborador
  
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 2 meses
Puntos: 535
Un Virus, troyano y/o spyware puede "hackear" un sitio?
Resulta que el sitio de un cliente, el sábado y esta madrugada, fue hackeado. Aparecieron algunos archivos dentro de la laiz del sitio con diversas fechas. Entre ellos dos archivos (main.htm y main.html) que tenían la misma fecha que el día del primer hackeo (el del sábado). Hoy, que ha vuelto a ocurrir, aparecieron esos dos mismos archivos pero con fecha de hoy a las 5:00:22 AM y 5:02:07 AM.

La coincidencia es que tanto el sábado como hoy, mi cliente accedió a internet (me dijo que al webmail, no al panel de administración del sitio aunque supongo que las contraseñas son las mismas) desde la misma PC (que no es la que habitualmente utiliza). No recuerdo los horarios anteriores de estos dos archivos (los del hackeo del sábado) pero si sé que hoy él encendió esa PC minutos antes de los horarios de los dos nuevos archivos... digamos que a las 4:55 AM.

El contenido de esos archivos es:

main.htm y main.html
Código: 
<html>

<head>
<meta http-equiv="Content-Language" content="pt-br">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Noturnos Crimez OwnZ yOu! We Are? Lord Cha0s - Over_c0de - mescalin - Extreme_Tx</title>
</head>
<body bgcolor="#000000">

<p align="center"> </p>
<p align="center"> </p>
<CENTER><img src="http://www.federnuoto.it/nc.jpg">
<p align="center"><font face="Bloody" size="3" color="#ffffff"><b>We Are?</b><BR>Lord Cha0s - Over_c0de - mescalin - Extreme_Tx<P>Help Admin?<BR>/Server Irc.GigaChat.Net -j #NCrimez<BR> [email protected] <BR></font></p>
</body>

</html>

<p><p><p><p><p><p><p><p></p>
</div>
Además de estos arhivos están presentes los siguientes:

asc.htm:
Código: 
ALBANIA SECURITY CLAN ownz you LONG LIFE ETHNIC ALBANIA LONG LIFE ALBANIAN PEOPLE AND LONG LIFE ASC ehheh r00x FCUK Gr...Sr...Mt...Ma...
bugs2k.htm:
Código: 
.
kateam.html:
Código: 
Kernel_Attack OwnZ yOu!
ks_vuln.html:
Código: 
ks
nap.html:
Código: 
NaP. OwnZ YOU   !!!!>>>>!!!! GRETZ to ASC and KHG [Kosova Hackers Group], CONTACT www.k-h-g.ch
nap.txt:
Código: 
Hacked By NaP.  GRZZ to ASC and KHG [Kosova Hackers Group] !!!! Fuck Serbia, Greece and Macedonia. ! . Contact www.k-h-g.ch
shez.txt:
Código: 
!!!!!!//////---OwNeD By ASC fuck SERBIA ; GREECE ; MACEDONIA lonG lIFe ALBANIA >>>> PROUD to be ALBAniAN^^^^ ---\\\\\\!!!!!!
.. bueno, y otros archivos.

La pregunta és ¿conocen algún spyware o una mierda de esas que haga algo similar a lo que describo?
__________________
...___...
  #2 (permalink)  
Antiguo 03/02/2005, 18:02
Avatar de elpiedra
Colaborador
  
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 2 meses
Puntos: 13
No creo que se trate de ningún virus en particular sino de justamente uno creado por un grupo de hackers (Kosova Hackers Group)

Aca podes ver su pagina web http://k-h-g.ch/KHGForum/portal.php que es un foro phpbb y no entiendo mucho por el idioma pero por lo que puede ver son una especie de clan para aprender a hackear.

Te recomendaría que si tenes un backup de el sito de tu cliente que le limpies todo lo que tiene y lo reinstales nuevamente y de paso que le eches una miradita al código por si hay algo cambiado.

También que se ponga en contacto con el proveedor de hosting donde tiene la web para explicarles el tema y a ver si ellos pueden ofrecerle mejor protección.

Salu2
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
  #3 (permalink)  
Antiguo 04/02/2005, 12:29
Avatar de AlZuwaga
Colaborador
  
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 2 meses
Puntos: 535
Gracias elpiedra, ya me puse en contacto con el soporte técnico del hosting y estoy esperando respuesta. Ayer, luego de mandar este mensaje, me puse a rivisar los logs y encontré lo siguiente:


Código: 
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes cs(User-Agent) cs(Referer) 
2005-01-28 05:56:54 200-168-114-107.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /ricardox.html - 201 318 221 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-28 21:32:06 200-168-114-107.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /pww.asp - 403 237 17263 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 03:24:33 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /index.html - 201 315 995 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 03:44:17 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /index.asp - 403 237 994 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 03:48:17 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /index.php - 404 4184 994 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 03:50:57 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.html - 201 314 994 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 03:54:08 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.htm - 201 313 993 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 04:00:49 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.php - 404 4184 993 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 04:10:43 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.html - 201 317 997 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 04:13:03 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.htm - 201 316 996 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 04:15:34 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.asp - 403 237 996 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-29 04:20:07 201-1-66-206.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.php - 404 4184 996 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-01-31 20:16:42 cust-114-159.dsl.versateladsl.be - sa.ra.na.sa 80 PUT /asc.htm - 201 312 350 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 07:56:29 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /index.htm - 200 262 886 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 07:57:47 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /index.asp - 403 237 886 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:00:22 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.html - 200 262 886 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:02:06 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.htm - 200 262 885 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:03:40 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.asp - 403 237 885 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:04:48 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /main.php - 404 4184 885 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:06:03 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.asp - 403 237 888 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:07:06 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.php - 404 4184 888 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:08:24 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.html - 201 317 889 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -
2005-02-03 08:11:09 201-1-24-117.dsl.telesp.net.br - sa.ra.na.sa 80 PUT /default.htm - 201 316 888 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 -

Fijate que el user-agent es el mismo y es en las únicas entradas (en las PUT de los intentos de hackeo) que figura éste: Microsoft Data Access Internet Publishing Provider DAV 1.1

Haciendo una búsqueda en google por él, encontré algunos documentos que hablan sobre una vulnerabilidad del frotnpage2000.

No se, voy a esperar la respuesta que me dan.
Saludos
__________________
...___...
Última edición por AlZuwaga; 04/02/2005 a las 12:31
  #4 (permalink)  
Antiguo 08/02/2005, 07:41
 
Fecha de Ingreso: noviembre-2002
Mensajes: 96
Antigüedad: 21 años, 4 meses
Puntos: 0
los virus de hoy
actualmente los virus que se propagan hoy dia, al infectar una maquina, lo que hacen es abrir un puerto en forma oculta, para luego permitir una conexion remota.
Lsass, sasser, blaster, fallas descubiertas en los llamados de procedimientos remotos, permiten a cualquier persona, ingresar a cualquier maquina que no este debidamente parcheada.
en el caso de los server, el mydoom, fue el virus que se ocupo de hacer lo suyo.
recomendacion, cambia de hosting, necesitas que quien lo programe, entienda algo del tema, si no vas a sufrir siempre ese tipo de trastornos
__________________
el chute
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 19:23.