12/01/2011, 15:59
| |||
| |||
 Servidor dedicado atacado por sitio yagizmo.com Mi sitio ha sido atacado y al hacer click sobre sus páginas aparecen peticiones de yagizmo.com Incluso hubo una página en donde el navegador de mozilla me bloqueaba el acceso!... Me pueden ayudar a poder decifrar como puedo arreglar el problema!... Trabajo con php y mysql... Saludos |
|
12/01/2011, 16:46
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com A mi me ha pasado justo lo mismo HOY con joomla!. Servidor dedicado en 1&1 (me han cambiado de server justo ayer) Estoy investigando, lo comparto.... te puede interesar: http://wam.dasient.com/wam/infection_library/7a9ac98597d186c951ee4ca3fdaf20c0/ljjjo http://www.stopbadware.org/d52ed85a09ab78f3d2a23318fb36c33f The three most common forms of badware that StopBadware sees on compromised sites are: Malicious scripts .htaccess redirects Hidden iframes Más en: http://www.stopbadware.org/home/security Suerte Última edición por nolink; 12/01/2011 a las 16:51 |
|
12/01/2011, 17:09
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Verifique el computador desde el cual se conectan por ftp a su sitio web, es posible que esté infectado por un virus que roba los datos de sus cuentas ftp y las reenvia a hackers, cambie las cuentas ftp de sus sitios desde un computador limpio. Nunca guarde los password de su cuenta ftp en los clientes ftp
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
12/01/2011, 18:06
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Si, es posible que usando un .htaccess hagan una redirección de tu sitio a otro servidor.
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
13/01/2011, 02:44
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com ¿Habéis conseguido solucionar el problema? A mí me ha pasado lo mismo con la intranet de alumnos del colegio en el que trabajo (la tenemos alojada con una empresa externa que nos da el servicio, es un Moodle bajo Linux). Ya les he avisado, pero si lo habéis solucionado de algún modo, cualquier información que les pueda pasar para acelerar el arreglo será bienvenida. Lo que más me fastidia es que, como es un servidor externo, no tengo acceso al sistema de archivos y no puedo mirar .htaccess ni nada por el estilo (he revisado el código de las páginas, nuestras DNS por si alguien se había metido en el servidor y había metido alguna redirección, etc., y nada, así que supongo que tiene que ser a nivel de .htaccess o de la configuración de Apache). Gracias! |
|
13/01/2011, 05:38
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com HTTP Response Header Name Value Delim Mi hosting dice que es un Javascrit malicioso que se ha incluido en el código. Aunque he comprobado el código y no he encontrado nada extraño del tipo document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000) En cambio haciendo un Scan al server me da HTTP/1.1 302 Found y me indica la redirección que hacemos mención. Desde aquí: http://web-sniffer.net/ ¿ Tenéis el mismo problema? ¿ Trabajáis con revendedores? Status: HTTP/1.1 302 Found Date: Thu, 13 Jan 2011 11:33:09 GMT Server: Apache Location: http://yagizmo.com/188.93.10.56 Content-Length: 215 Connection: close Content-Type: text/html; charset=iso-8859-1 Content (0.21 KiB) <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="http://yagizmo.com/188.93.10.56">here</a>.</p> </body></html> |
|
13/01/2011, 05:57
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Puedes mencionarnos tu dominio, si deseas me lo envías por MP y te ayudo a verificar el problema del script que se agrega a tus paginas
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
13/01/2011, 06:33
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Respondido tu MP
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
13/01/2011, 08:19
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Hola a todos veo que a muchos les está pasando el mismo problema, ayer revisando pudimos encontrar el problema. Me parece que es una especie de virus como mencionan todos aquí. Se genera un .htaccess redirects, el mismo que se genera en las carpetas en donde el usuario tiene permisos para lectura y escritura. En nuestro caso tenemos carpetas donde están las imágenes y ahi se generaba ese .htaccess con la redirección respectiva, procedimos a eliminar estas redirecciones en todas las carpetas afectadas y ya empezaban aparecer las imágenes que se perdían... Ahora vamos a chekar las máquinas con las cuales hacemos ftp para revisar si existen virus que al hacer ftp pueden esta afectando al servidor en línea.... Si tienen sugerencias de que tipo de virus puede ser o el antivirus adecuado que pueda tratar estos archivos infeccios que me puedan recomendar... Muy agradecido!... Espero todos puedan también solucionar el problema.... |
|
13/01/2011, 08:23
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Hola a todos veo que a muchos les está pasando el mismo problema, ayer revisando pudimos encontrar el problema. Me parece que es una especie de virus como mencionan todos aquí. Se genera un .htaccess redirects, el mismo que se genera en las carpetas en donde el usuario tiene permisos para lectura y escritura. En nuestro caso tenemos carpetas donde están las imágenes y ahi se generaba ese .htaccess con la redirección respectiva, procedimos a eliminar estas redirecciones en todas las carpetas afectadas y ya empezaban aparecer las imágenes que se perdían... Ahora vamos a chekar las máquinas con las cuales hacemos ftp para revisar si existen virus que al hacer ftp pueden esta afectando al servidor en línea.... Si tienen sugerencias de que tipo de virus puede ser o el antivirus adecuado que pueda tratar estos archivos infeccios que me puedan recomendar... Muy agradecido!... Espero todos puedan también solucionar el problema.... |
|
13/01/2011, 09:03
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com El virus puede ser gumblar o uno muy similar, yo le había mencionado a nolink por MP que el problema era un archivo htaccess que hace la redirección. Ese es el encabezado http del sitio Cita: Instala todos los parches a tu Windows, cambia las claves de tu cuenta ftp, corre un antivirus, intenta con HouseCall de Trend Micro HTTP/1.1·302·Found(CR)(LF) Date:·Thu,·13·Jan·2011·13:21:42·GMT(CR)(LF) Server:·Apache(CR)(LF) Location:·http://yagizmo.com/69.xx.187.xx
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
13/01/2011, 18:57
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Ya somos unos cuantos con el mismo problema. Tened cuidado, porque donde se aloja el código:
Código:
es dentro de la base de datos, por lo que restaurando la BBDD de MySQL la web vuelve a funcionar sin problema, aunque sigue siendo vulnerable,document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000) ¿Alguien sabe de dónde viene la vulnerabilidad? ¿De alguna versión concreta de joomla o drupal? ¿De algún virus? Un saludo, |
|
13/01/2011, 19:34
| ||||
| ||||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Si, parece que aprovecha alguna vulnerabilidad de joomla, he visto 2 clientes en la misma situación. Actualiza joomla a la última versión.
__________________ Administrador de Servidores Windows www.hyperwin.net WebSitePanel - Helm Control - HostingController - DotNetPanel Instalación - Configuración - Hardening - Solución de problemas |
|
15/01/2011, 09:52
| |||
| |||
| Respuesta: Servidor dedicado atacado por sitio yagizmo.com Si se aloja dentro de la BBDD afectaría solo aquella tabla que estuviera insertada. Como habrás leído el problema es en todo el dominio. Os dejo un enlace donde ofrecen un punto de vista más interesante: http://www.hard-h2o.com/vertema/134248/creacion-htaccess-en-joomla-automaticamente.html Saludos Cita:
Iniciado por arcm  Ya somos unos cuantos con el mismo problema. Tened cuidado, porque donde se aloja el código:
Código:
es dentro de la base de datos, por lo que restaurando la BBDD de MySQL la web vuelve a funcionar sin problema, aunque sigue siendo vulnerable,document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000) ¿Alguien sabe de dónde viene la vulnerabilidad? ¿De alguna versión concreta de joomla o drupal? ¿De algún virus? Un saludo, |
| Etiquetas: |
