Necesito ayuda para descifrar código malicioso en hosting y dominio

Finalmente encontramos la causa del troyano que posiblemente los mismos tecnicos del servidor inyectaron el codigo sin darse cuenta que sus maquinas estaban infectadas, y fue un Ataque a servidor apache y como casi siempre los clientes tienen el 99% de la culpa al infectar sus sitios web, en esta ocasión no fue así, despues de migrar bases de datos y archivos a otro servidor de otra empresa, mi problema se solucionó, yo realmente lo siento por los hospedajes compartidos de este servidor que probablemnte sufrieron ataque de troyano, ya que dudo mucho que los provedores de hosting y reseller de esta seudoempresa reconozcan su error (por prestigio ).

despues con tiempo les paso todos los detalles técnicos del ataque a servidor apache que sufrio este server.

saludos

 

¡Acerté! Quiero mi premio.

¡Cabezón!

Ahora en serio, me alegro muchísimo que hayas podido librarte de esos bichos vicman21

Por cierto, ¿te importaría decirnos el nombre de esa empresa? Más que nada para estar atentos.

Saludos

 

No se trata de acertar o no, como te dije el problema está en la máquina que subio los ficheros de su web infectados, no en el servidor, no insistas....

A menos de que el servidor NO tenga ningúna configuración de seguridad, y el usuario de permisos de lectura escritura a todo el mundo ens a sus páginas es tipo de infección no se propagan entre las web, ese no es su objetivo, indudablemente si los administradores del servidor son unos negas, y entran por ftp a ver las webs de sus clientes, sin duda que tambien las infectarán....

 

digitalserver.com.mx Altamente NO recomendable

Porfavor chequen este documento, que fue la clave para descifrar el asunto. es exactamente lo que ocurria en este servidor
descarga PDF (ingles)

zshare.net/download/618247206c0ca4d2

 

En el documento PDF que colgó vicman21 se puede ver que el script PHP cuando se ejecuta comprueba si alguna de estas funciones están habilitadas:

CODE, HTML o PHP Insertado:

  $func_list = array( 
             "popen", 
             "proc_open", 
             "shell_exec", 
             "exec", 
             "passthru", 
             "pcntl_exec" 
           ); 

El script ya ha infectado al Apache, redirigiendo algunas peticiones e inyectando código malicioso "en el aire" (en el output, sin modificar los archivos originales).

¿Que alguien ha subido ese script? Está claro, no se va a crear solo. Lo que yo quería decir, es que si vicman21 revisó y resubió mil veces los archivos (NO infectados) al servidor, y al tiempo aparecen infectados, el problema está en el servidor, NO en su máquina. La conclusión es que otro cliente previamente subió ese troyano y como la compañía de alojamiento no hacía nada, pues ahí sigue ejecutándose e inyectando códigos.

PD: El "¡Acerté!", seguido de un "Quiero mi premio ", lógicamente, como creo que todos han podido suponer, es en tono de broma.

 

Mira que tu premio es que tienes toda la razón en los hechos, revizé y volví a subir archivos no infectados viarias veces, pero el simple hecho de que algún vistante a cualquiera de los sitios alojados en el servidor infectado(vía IEexplorer) descargaba troyanos, de hecho tuve reportes de los visitantes que sus antivirus (avast y mcafe)detectaban troyanos en cualquier extensión de archivo común, llámese, jpg, gif, png, swf (flash), htm ,etc. y cualquier otra extension, pero en si los archivos no estaban infectados, simplemente el troyano se descolgaba al abrir el sitio como salido de la nada y revize todos mis archivos index, carpetas como includes y jamás encontre nada, los archivos en mi máquina local eran normales, pero una vez en el servidor parcieram estar infectados. De hecho los dominios que tenía alojados en ese servidor al hacer redireccionamientos a sitios web alojados en otros servidores de otras empresas, el troyano se descolgaba como si existierta en esos servidores. Pero no fue así, de alguna manera el servidor infectado también mandaba el troyano en simples redireccionamientos de dominios a sitios web alojados en otros servidores insisto todo volvió la normalidad, cuando migre bases de datos y archivos y cambié los dns de los dominios a puntados a nuevos servidores de distinta empresa.

 

No quiero volver a insistir en el tema, desde el principio indique que los archivos en la máquina original, NO están infectados, se infectan en el momento de subirlos por FTP, y el troyano de la máquina los va infectando cada cierto tiempo mientras tenga acceso ftp.

Segundo, para hacer lo que le hacia el servidor NO NECESITA NINGUN CODIGO PHP con una línea de javascritp es suficiente, no necesitan PHP para funcionar

Bueno cada loco con su tema, cuando se te vuela a infectar avisas...

 

Lo que tu está planteando, como te indique antes, en un servidor medianamente bien configurado no es posible de hacer, el usuario "apache" que con el que corre el httpd, no tiene privilegios de escritura en un archivo excepto si el usuario lo ha marcado como "lecurra-escritura" para todos, cosa que sería una tremenda estupided por parte del mismo.

Las funciones que indicas se comprueban, exclusivamente, para ver como se puede ir a ejecutar un comando de sistema, escriben su script en el /tmp y luego si pueden lo ejecutan, para poner un bot,eso es lo más viejo del mundo, pero de hay, a ir añadiendo código en páginas a las que no tiene acceso, es otro cantar....

 

Te equivocas. No se infectan en el momento de subirlos al FTP.

Los archivos subidos no llegan a modificarse nunca, es el troyano que inyecta el código malicioso al output del Apache "en tiempo real".

En lo segundo, ¿estás seguro de lo que dices? ¿Me estás diciendo que un código Javascript tiene acceso a las funciones PHP exec y proc_open para hacer un hook al Apache? Recuerda que se ejecuta en el lado del visitante...

 

sonrrio nada más...

NO, que un simple javascript te redirecciona a una nueva página directamente, ese es el código inyectado...

 

Puedo afirmar que si es así, un código JavaScript te redirecciona a activar un ActiveX para que lo instales si eres un tozudo.

Cuando aprendía, una vez que no tenía ni p... idea, entrando a una página X te decía que instalaras un mágico software para poder ver dichos videos X, y un javascript te redireccionaba a un ActiveX para que aceptases el maldito botón de instalar, y allí, es cuando te infectabas.

Esto como anécdota, me paso en mis inicios en la informática, más exactamente en la www.

Tiempos aquellos…

Saludos,

 

Que el código Javascript es el que redirecciona, está claro. No lo hace por telepatía.

Sobre esto otro:

Vuelves a equivocarte. Claro que no hace falta usar PHP para redireccionarte, puedes poner tú mismo el código Javascript en un HTML, llamarlo y listo.

Lo que te estoy diciendo es que ese código PHP es el que inyecta automáticamente el código Javascript a las páginas que el proceso Apache sirve. Páginas que sus archivos no han sido modificados.

Te vuelvo a repetir para que sonrías, que es sano: en ningún momento se modifican los archivos originales.

¿De verdad quieres seguir discutiendo?

 

No es necesario redireccionar con JavaScript, con HTML se puede perfectamente mediante este código:

<meta http-equiv="refresh" content="0;url=http://www.url.com/" />

content: Segundos que tarda a redireccionar.
url: Dirección del archivo.

Como os complicáis la vida algunos.

Saludos,

 

Ferran, la redirección a la que nos referimos Fernando y yo es Javascript por que de alguna manera está encriptado el código.

Saludos

 

Muchas gracias por el comando Esteban, me lo anoto por si acaso

Saludos

 

Mira amigo, lo ideal y te lo digo por experiencia, es que borres todos tus archivos o examines uno a uno cada archivo, php, htm, html, txt, js, ya que esto es una inyeccion por js de sitios me imagino chinos, probablemente explotaron algun archivo de tus sitios, por lo general los que tienen permisos 666 y 777, aunque tengo una teoria que usan un fallo en el codigo de adsense para inyectar este codigo en tus archivos.

Si en fire no lo detectaste, verifica en tu cuenta de web master de google ya que ahi veras las advertencias, y si las tienes pues apurate o te banean el sitio, a mi me ha costado levantar un sitio de esa situacion y es un foro vb , si tienes mas dudas mandame un privadin.

saludos.

 

No es tan sofisticado, yo lo hice asi y asunto arreglado, tuve que cambiar de host por medidas de seguridad, pero ese codigo no es tan sofisticado, acceden mediante alguna carpeta con permisos 777, suben un script de ftp en php y dependiendo de la seguridad del servidor ejecutan la inyeccion del codigo y listo.

para cceder a la memoria necesitarian el user y el pass de root, y no creo que en alguna distro de linux eso se consiga como pan, si es windows lo entenderia.

Por lo regular el joomla, post nuke y php nuke son muy vulnerables y mas si ponen plantillas full.

Como dije eso me paso con un sitio que me lo tiro incluso google envio alerta de ban borrando y resubiendo todo, asunto mas que arreglado.

Si los archivos se infectan al subirlos nuevamente, entonces quiere decir que el script php esta en alguna de las carpetas raiz del sitio, ahi lo que se puede hacer es borrar el sitio entero y volverlo a configurar.

Todo eso yo ya lo sufri y asi lo arregle , y fue en sitios con joomla y wp, tambien tengo una sospecha que esto se propaga con el adsense, pero me dio paja hacer un estudio mas detallado, pero casi un 60% que algo hay de eso.

 

Ese rootkit no hace lo que dices...te lo explicó bien WebTech. Lee y comprende el código PHP que subió vicman21.

Hay vulnerabilidades que permiten hacer un bypass en la autenticación (escalado de privilegios) sin necesidad de contraseña, modificando la memoria.

¿Qué tiene que ver Google AdSense con esto? AdSense es un código Javascript que se "incrusta" en tu sitio web y su única conexión es a los servidores de Google, siempre desde el lado del visitante. No le veo relación...la verdad.

Saludos