1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Necesito ayuda para descifrar código malicioso en hosting y dominio

Tema en 'Asuntos Técnicos' iniciado por vicman21, 19 May 2009.

  1. vicman21

    vicman21 Nuevo usuario

    Finalmente encontramos la causa del troyano que posiblemente los mismos tecnicos del servidor inyectaron el codigo sin darse cuenta que sus maquinas estaban infectadas, y fue un Ataque a servidor apache y como casi siempre los clientes tienen el 99% de la culpa al infectar sus sitios web, en esta ocasión no fue así, despues de migrar bases de datos y archivos a otro servidor de otra empresa, mi problema se solucionó, yo realmente lo siento por los hospedajes compartidos de este servidor que probablemnte sufrieron ataque de troyano, ya que dudo mucho que los provedores de hosting y reseller de esta seudoempresa reconozcan su error (por prestigio ).

    despues con tiempo les paso todos los detalles técnicos del ataque a servidor apache que sufrio este server.

    saludos:-D
     
  2. MaxKiller

    MaxKiller Usuario activo

    ¡Acerté! Quiero mi premio. :afirmar:

    ¡Cabezón! :D

    Ahora en serio, me alegro muchísimo que hayas podido librarte de esos bichos vicman21 :)

    Por cierto, ¿te importaría decirnos el nombre de esa empresa? Más que nada para estar atentos.

    Saludos :aprueba:
     
  3. ideasmultiples

    ideasmultiples Usuario activo

    No se trata de acertar o no, como te dije el problema está en la máquina que subio los ficheros de su web infectados, no en el servidor, no insistas....

    A menos de que el servidor NO tenga ningúna configuración de seguridad, y el usuario de permisos de lectura escritura a todo el mundo ens a sus páginas es tipo de infección no se propagan entre las web, ese no es su objetivo, indudablemente si los administradores del servidor son unos negas, y entran por ftp a ver las webs de sus clientes, sin duda que tambien las infectarán....


    :D
     
  4. vicman21

    vicman21 Nuevo usuario

    digitalserver.com.mx :rolleyes: Altamente NO recomendable

    Porfavor chequen este documento, que fue la clave para descifrar el asunto. es exactamente lo que ocurria en este servidor
    descarga PDF (ingles)

    zshare.net/download/618247206c0ca4d2
     
    Última edición: 25 Jun 2009
  5. MaxKiller

    MaxKiller Usuario activo

    En el documento PDF que colgó vicman21 se puede ver que el script PHP cuando se ejecuta comprueba si alguna de estas funciones están habilitadas:

    CODE, HTML o PHP Insertado:
      $func_list = array( 
                 "popen", 
                 "proc_open", 
                 "shell_exec", 
                 "exec", 
                 "passthru", 
                 "pcntl_exec" 
               ); 
    El script ya ha infectado al Apache, redirigiendo algunas peticiones e inyectando código malicioso "en el aire" (en el output, sin modificar los archivos originales).

    ¿Que alguien ha subido ese script? Está claro, no se va a crear solo. Lo que yo quería decir, es que si vicman21 revisó y resubió mil veces los archivos (NO infectados) al servidor, y al tiempo aparecen infectados, el problema está en el servidor, NO en su máquina. La conclusión es que otro cliente previamente subió ese troyano y como la compañía de alojamiento no hacía nada, pues ahí sigue ejecutándose e inyectando códigos.

    PD: El "¡Acerté!", seguido de un "Quiero mi premio :afirmar:", lógicamente, como creo que todos han podido suponer, es en tono de broma.
     
  6. vicman21

    vicman21 Nuevo usuario

    Mira que tu premio es que tienes toda la razón en los hechos, revizé y volví a subir archivos no infectados viarias veces, pero el simple hecho de que algún vistante a cualquiera de los sitios alojados en el servidor infectado(vía IEexplorer) descargaba troyanos, de hecho tuve reportes de los visitantes que sus antivirus (avast y mcafe)detectaban troyanos en cualquier extensión de archivo común, llámese, jpg, gif, png, swf (flash), htm ,etc. y cualquier otra extension, pero en si los archivos no estaban infectados, simplemente el troyano se descolgaba al abrir el sitio como salido de la nada y revize todos mis archivos index, carpetas como includes y jamás encontre nada, los archivos en mi máquina local eran normales, pero una vez en el servidor parcieram estar infectados. De hecho los dominios que tenía alojados en ese servidor al hacer redireccionamientos a sitios web alojados en otros servidores de otras empresas, el troyano se descolgaba como si existierta en esos servidores. Pero no fue así, de alguna manera el servidor infectado también mandaba el troyano en simples redireccionamientos de dominios a sitios web alojados en otros servidores insisto todo volvió la normalidad, cuando migre bases de datos y archivos y cambié los dns de los dominios a puntados a nuevos servidores de distinta empresa.:afirmar:
     
  7. ideasmultiples

    ideasmultiples Usuario activo

    No quiero volver a insistir en el tema, desde el principio indique que los archivos en la máquina original, NO están infectados, se infectan en el momento de subirlos por FTP, y el troyano de la máquina los va infectando cada cierto tiempo mientras tenga acceso ftp.

    Segundo, para hacer lo que le hacia el servidor NO NECESITA NINGUN CODIGO PHP con una línea de javascritp es suficiente, no necesitan PHP para funcionar :D

    Bueno cada loco con su tema, cuando se te vuela a infectar avisas...


    :cool:
     
  8. ideasmultiples

    ideasmultiples Usuario activo


    Lo que tu está planteando, como te indique antes, en un servidor medianamente bien configurado no es posible de hacer, el usuario "apache" que con el que corre el httpd, no tiene privilegios de escritura en un archivo excepto si el usuario lo ha marcado como "lecurra-escritura" para todos, cosa que sería una tremenda estupided por parte del mismo.

    Las funciones que indicas se comprueban, exclusivamente, para ver como se puede ir a ejecutar un comando de sistema, escriben su script en el /tmp y luego si pueden lo ejecutan, para poner un bot,eso es lo más viejo del mundo, pero de hay, a ir añadiendo código en páginas a las que no tiene acceso, es otro cantar....
     
  9. MaxKiller

    MaxKiller Usuario activo

    Te equivocas. No se infectan en el momento de subirlos al FTP.

    Los archivos subidos no llegan a modificarse nunca, es el troyano que inyecta el código malicioso al output del Apache "en tiempo real".

    En lo segundo, ¿estás seguro de lo que dices? ¿Me estás diciendo que un código Javascript tiene acceso a las funciones PHP exec y proc_open para hacer un hook al Apache? Recuerda que se ejecuta en el lado del visitante... :D
     
  10. ideasmultiples

    ideasmultiples Usuario activo

    :D sonrrio nada más...

    NO, que un simple javascript te redirecciona a una nueva página directamente, ese es el código inyectado...

    :cool:
     
  11. Puedo afirmar que si es así, un código JavaScript te redirecciona a activar un ActiveX para que lo instales si eres un tozudo. :afirmar:

    Cuando aprendía, una vez que no tenía ni p... idea, entrando a una página X te decía que instalaras un mágico software para poder ver dichos videos X, y un javascript te redireccionaba a un ActiveX para que aceptases el maldito botón de instalar, y allí, es cuando te infectabas.

    Esto como anécdota, me paso en mis inicios en la informática, más exactamente en la www.

    Tiempos aquellos…

    Saludos,
     
  12. MaxKiller

    MaxKiller Usuario activo

    Que el código Javascript es el que redirecciona, está claro. No lo hace por telepatía.

    Sobre esto otro:

    Vuelves a equivocarte. Claro que no hace falta usar PHP para redireccionarte, puedes poner tú mismo el código Javascript en un HTML, llamarlo y listo.

    Lo que te estoy diciendo es que ese código PHP es el que inyecta automáticamente el código Javascript a las páginas que el proceso Apache sirve. Páginas que sus archivos no han sido modificados.

    Te vuelvo a repetir para que sonrías, que es sano: en ningún momento se modifican los archivos originales.

    ¿De verdad quieres seguir discutiendo? :D
     
  13. No es necesario redireccionar con JavaScript, con HTML se puede perfectamente mediante este código:

    <meta http-equiv="refresh" content="0;url=http://www.url.com/" />

    content: Segundos que tarda a redireccionar.
    url: Dirección del archivo.

    Como os complicáis la vida algunos.

    Saludos,
     
  14. MaxKiller

    MaxKiller Usuario activo

    Ferran, la redirección a la que nos referimos Fernando y yo es Javascript por que de alguna manera está encriptado el código.

    Saludos :aprueba:
     
  15. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Creo que no hay más punto de discusión, te doy la razón MaxKiller :aprueba:, casi seguro el problema se debe al Random JS Toolkit :)

    Hace un tiempo un cliente nos contrató para administrarle un servidor y limpiarle el sistema, recuerdo que uno de nuestros adminstradores logró dar con el problema, se trataba de un rootkit que infectaba toda petición hacia Apache.

    La redirección se realiza por javascript que es inyectado en tiempo real, pero que no puede ser rastreado ya que crea un código aleatorio directamente desde la memoria, esta infección es a nivel de Kernel. Desde el DC de seguro les será más barato formatear la máquina que limpiar el sistema, ya que debe bootearse con un live cd/dvd y realizar varias tareas para remover la infección.

    Existen algunas variantes de este script, una de las formas más seguras de saber si uno está infectado o no, es correr esta línea, dejarla varias horas y luego analizar el resultado:

    CODE, HTML o PHP Insertado:
    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
    
    Saludos,
     
  16. MaxKiller

    MaxKiller Usuario activo

    Muchas gracias por el comando Esteban, me lo anoto por si acaso :)

    Saludos :aprueba:
     
  17. ElBarto

    ElBarto Nuevo usuario

    Mira amigo, lo ideal y te lo digo por experiencia, es que borres todos tus archivos o examines uno a uno cada archivo, php, htm, html, txt, js, ya que esto es una inyeccion por js de sitios me imagino chinos, probablemente explotaron algun archivo de tus sitios, por lo general los que tienen permisos 666 y 777, aunque tengo una teoria que usan un fallo en el codigo de adsense para inyectar este codigo en tus archivos.

    Si en fire no lo detectaste, verifica en tu cuenta de web master de google ya que ahi veras las advertencias, y si las tienes pues apurate o te banean el sitio, a mi me ha costado levantar un sitio de esa situacion y es un foro vb , si tienes mas dudas mandame un privadin.

    saludos.
     
  18. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Esto que has comentado no le servirá de nada, sirve para inyecciones de código comunes y corrientes, pero no para algo tan sofisticado como esto. Como afirmé antes, el problema es bastante más complicado, esto no es una infección a nivel de archivos físicos, se infectan a nivel lógico en memoria justo cuando son despachados por Apache. La infección, posiblemente, se debe al uso de un kernel antiguo.



    Espero te sirva Max, notarás la infección por las cadenas de código que salen en pantalla, aunque cuidado pues también te mostrará cualquier otro JavaScript ejecutado en el sistema :)

    Saludos,
     
    Última edición: 26 Jun 2009
    A MaxKiller le gusta esto.
  19. ElBarto

    ElBarto Nuevo usuario

    No es tan sofisticado, yo lo hice asi y asunto arreglado, tuve que cambiar de host por medidas de seguridad, pero ese codigo no es tan sofisticado, acceden mediante alguna carpeta con permisos 777, suben un script de ftp en php y dependiendo de la seguridad del servidor ejecutan la inyeccion del codigo y listo.

    para cceder a la memoria necesitarian el user y el pass de root, y no creo que en alguna distro de linux eso se consiga como pan, si es windows lo entenderia.

    Por lo regular el joomla, post nuke y php nuke son muy vulnerables y mas si ponen plantillas full.

    Como dije eso me paso con un sitio que me lo tiro incluso google envio alerta de ban :eek: borrando y resubiendo todo, asunto mas que arreglado.

    Si los archivos se infectan al subirlos nuevamente, entonces quiere decir que el script php esta en alguna de las carpetas raiz del sitio, ahi lo que se puede hacer es borrar el sitio entero y volverlo a configurar.

    Todo eso yo ya lo sufri y asi lo arregle , y fue en sitios con joomla y wp, tambien tengo una sospecha que esto se propaga con el adsense, pero me dio paja hacer un estudio mas detallado, pero casi un 60% que algo hay de eso.
     
  20. MaxKiller

    MaxKiller Usuario activo

    Ese rootkit no hace lo que dices...te lo explicó bien WebTech. Lee y comprende el código PHP que subió vicman21.

    Hay vulnerabilidades que permiten hacer un bypass en la autenticación (escalado de privilegios) sin necesidad de contraseña, modificando la memoria.

    ¿Qué tiene que ver Google AdSense con esto? AdSense es un código Javascript que se "incrusta" en tu sitio web y su única conexión es a los servidores de Google, siempre desde el lado del visitante. No le veo relación...la verdad.

    Saludos :aprueba:
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·