Foros del Web » Administración de Sistemas » Shared Hosting y VPS »

Código malicioso que se agrega a todos mis PHPs (sin modificarlos!)

Estas en el tema de Código malicioso que se agrega a todos mis PHPs (sin modificarlos!) en el foro de Shared Hosting y VPS en Foros del Web. ¡Hola! Gracias a la llamada de un cliente acabo de descubrir que todos los sitios de mi cuenta de hosting, que es una cuenta en ...
  #1 (permalink)  
Antiguo 17/01/2014, 18:10
Avatar de DrFaust  
Fecha de Ingreso: septiembre-2011
Ubicación: Buenos Aires
Mensajes: 308
Antigüedad: 13 años, 2 meses
Puntos: 87
Código malicioso que se agrega a todos mis PHPs (sin modificarlos!)

¡Hola!

Gracias a la llamada de un cliente acabo de descubrir que todos los sitios de mi cuenta de hosting, que es una cuenta en server compartido en una empresa extremadamente popular en mi país, están infectados con código malicioso. Chrome abre una ventana de advertencia y todo.

El código malicioso consiste en un <script> que se agrega al final de las páginas PHP después del tag </html>. El script lleva a un sitio ruso.

El problema es el siguiente: los archivos no fueron modificados. Descargo el archivo: está sano. Accedo en el servidor: está infectado.

Subo un archivo PHP 100% nuevo y accedo en el servidor: está infectado. Lo descargo, lo vuelvo a mirar: está sano.

Todas las fechas de modificación son las correctas: hay archivos que están infectados y que no se modifican desde 2012 (y que al descargarlos compruebo que están intactos). Es como si el servidor web Apache mismo estuviera infectado, y pegara el código malicioso después de pasar por PHP. O como si hubiera un archivo .htaccess o algo así que dijera "a todos los archivos PHP, adherirles este código al final" (pero mis archivos .htaccess también están intactos).

Ya me comuniqué con el soporte técnico, y están trabajando sobre ello, pero me preguntaba si tenían experiencias similares, y si me pueden dar alguna pista acerca de cómo surgió este problema. Particularmente si es cosa mía o de ellos.

Desde ya, muchas gracias por su tiempo. Si necesitan información adicional para hacer un diagnóstico más certero, no duden en solicitármela.
__________________
Desarrollador web profesional
  #2 (permalink)  
Antiguo 18/01/2014, 09:17
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 3 meses
Puntos: 144
Respuesta: Código malicioso que se agrega a todos mis PHPs (sin modificarlos!)

Si estás 100% seguro que el malware no está en tu pc (malware local es capaz de hacer tal y como lo describes) y tanto tus .php como tus .htaccess intactos y sin fecha de modificación reciente, es mal indicio, hay formas de agregar scripts a php pero requiere de acceso a apache o php del lado del servidor, por lo que todo parece indicar que hay un atacante con acceso al sistema de archivos.
  #3 (permalink)  
Antiguo 22/01/2014, 08:02
 
Fecha de Ingreso: octubre-2012
Ubicación: Madrid
Mensajes: 87
Antigüedad: 12 años
Puntos: 7
Respuesta: Código malicioso que se agrega a todos mis PHPs (sin modificarlos!)

¿Cómo estas viendo los ficheros en el servidor remoto? los editas con un editor de ficheros o los ves desde el administrador del panel de control?

Infecciones como las que comentas son frecuentes aunque normalmente no se suele necesitar bajarse el fichero a tu local. Si esta infectado en remoto es suficiente. Lo raro es que te aparezca la fecha de modificación como sino se hubieran modificado. entiendo que son maquinas linux, verdad?
__________________
DigitalValley.com
Cloud Privado para resellers y desarrolladores | VPS SSD Hosting desde 1997

Etiquetas: hosting, ip, malicioso, php, server, servidor, web-hosting
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 17:09.