OVH Community, your new community space.

Nuevo malware chungo


max
06/06/2013, 01:23
pues no lo se.. leete los mensajes del hilo. En mi caso también habían logs de FTP como decia la gente, por lo que debe ser algún troyano.

Así que de entrada a cambiar passwords. Si quieres repasar todos los archivos susceptibles del /home prueba con algo asi:
Código:
find /home/*/public_html/ -name "*.php" | xargs grep -l "fromcharcode" >> malware_fromcharcode_php.txt                                                                                                                 
find /home/*/public_html/ -name "*.js" | xargs grep -l "fromcharcode" >> malware_fromcharcode_js.txt
porque necesitan de la funcione fromCharCode para convertir los caracteres unicode. Al menos así se puede acotar un poco

Lo que no se entiende es que lo detecten los antivirus de usuario pero no el Clamav ni el LMD. Es un poco cutre que cientos de cadenas 3a,1b,0f,.... ni siquiera se detecten como algo sospechoso, porque scripts que tengan eso no hay muchos :confused:

bueno, gracias a todos por la idea de buscar en el FTP, efectivamente era eso.

DeNoRk
03/06/2013, 21:43
Hola,

He sido infectado justamente por lo que se está comentando en el post.

Los usuarios me han comenzado a reportar que sus antivirus les daba "Blackhole Exploit Kit (Type 2704)"

Tengo 3 páginas instaladas con wordpress en el servidor y me ha ocurrido en dos de ellas.. :/

He mirado y este malware había colocado el código javascript en el header de wordpress, además me he encontrado un index.html, os lo dejo para que lo veáis http://www36.zippyshare.com/v/28998290/file.html

Si tenéis antivirus lógicamente os lo detectará.

De momento he eliminado el código y el html, que me recomendáis hacer? Como puede haber entrado?

Edito: He realizado un scan con Watchdog y me indica "Problemas existente/potenciales de seguridad considerables detectados en el sistema. Para ver detalles, ver el fichero de registro abajo."

Pero en el log no veo nada que pueda entender

Saludos
David

kennysamuerto
31/05/2013, 01:32
Cita Publicado inicialmente por Guille
Y las comillas deberian tener un font-size:60px por lo menos.

Un php extraño en un servidor puede hacer autenticas maldades y más desde que se descubrió la vulnerabilidad PERF_EVENTS del kernel de linux
Eso sin contar con todo lo que te pueden hacer:
- Hosting de phising
- Blackhat SEO
- Spam
- Control de zombies


Lo ultimo en malware son scripts que sólo redireccionan a páginas con troyanos si el referer es Google o Bing.
De esa forma cuando se visitan directamente o cuando los visita el robot de Google el malware permanece inactivo y no se detecta la página web como badware.


El problema nunca es la herramienta sino quien la usa.
No puedo estar mas de acuerdo en todas las puntualizaciones a mi post. Especialmente en la ultima.

Lo que pasa es que no eran horas para desarrollar el tema, como tampoco lo son ahora

Vamos a cerrar la "paraeta" que mañana a las 7 (bueno, dentro de unas horitas), mas.

Pero es cierto, solo que no queria que el post me quedara largo y tedioso.

Bueno señores, mañana mas peleas con malwares, servidores, plesk, y toda la pesca. Yo no se ustedes, pero yo disfruto. Un dia me llevara para el otro barrio, pero yo disfruto con lo que hago, y cada dia que sale una cosa, me motiva para continuar al 100%, se llame malware, vulnerabilidad, o wordpress 2.1.

Al final me he enrollado!

Saludos!

MarcosBL
30/05/2013, 22:50
max, por supuesto hombre, no insinuaba lo contrario; aún así, gracias, efectivamente, ya no me peta la pestaña al entrar en este tema xD

Guille
30/05/2013, 12:50
Cita Publicado inicialmente por kennysamuerto
¿Wordpress? ¿Joomlas?

Mientras se trate de un defacement en vulnerabilidades de scripts, "no afecta al servidor", por lo que solo por ese aspecto podemos estar "tranquilos".

Edito: "No afecta al servidor" entre comillas, mejor.
Y las comillas deberian tener un font-size:60px por lo menos.

Un php extraño en un servidor puede hacer autenticas maldades y más desde que se descubrió la vulnerabilidad PERF_EVENTS del kernel de linux
Eso sin contar con todo lo que te pueden hacer:
- Hosting de phising
- Blackhat SEO
- Spam
- Control de zombies

Cita Publicado inicialmente por kennysamuerto
He visto esta ultima semana como un wordpress le metian un codigo que solicitaba al cliente descargarse la ultima version de flash en un popup.
Lo ultimo en malware son scripts que sólo redireccionan a páginas con troyanos si el referer es Google o Bing.
De esa forma cuando se visitan directamente o cuando los visita el robot de Google el malware permanece inactivo y no se detecta la página web como badware.

Cita Publicado inicialmente por kennysamuerto
Parece que andan de barrido con los wordpress, ultimamente, todo son problemas relacionados con estos scripts. Asi que apostaria por este como el inductor del malware que comenta el OP.
El problema nunca es la herramienta sino quien la usa.

benti
30/05/2013, 12:29
buenas, como dijo alguien mas arriba entran por ftp aqui un log de una cuenta de las que me han infectado a mi:

Wed May 29 22:19:56 2013 0 128.91.127.21 2189 /home/rasa/public_html/configuration.php a _ o r rasa ftp 1 * c
Wed May 29 22:19:58 2013 0 128.91.127.21 895 /home/rasa/public_html/robots.txt a _ o r rasa ftp 1 * c
Wed May 29 22:20:26 2013 0 128.91.127.21 10 /home/rasa/public_html/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:21:10 2013 0 128.91.127.21 0 /home/rasa/public_html/administrator/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:21:33 2013 0 128.91.127.21 0 /home/rasa/public_html/cache/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:22:08 2013 0 128.91.127.21 0 /home/rasa/public_html/cgi-bin/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:22:43 2013 0 128.91.127.21 0 /home/rasa/public_html/cli/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:23:18 2013 0 128.91.127.21 0 /home/rasa/public_html/components/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:23:54 2013 0 128.91.127.21 0 /home/rasa/public_html/dmdocuments/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:24:29 2013 0 128.91.127.21 0 /home/rasa/public_html/images/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:25:04 2013 0 128.91.127.21 0 /home/rasa/public_html/includes/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:25:41 2013 0 128.91.127.21 0 /home/rasa/public_html/language/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:26:18 2013 0 128.91.127.21 0 /home/rasa/public_html/libraries/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:26:53 2013 0 128.91.127.21 0 /home/rasa/public_html/logs/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:27:28 2013 0 128.91.127.21 0 /home/rasa/public_html/media/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:28:05 2013 0 128.91.127.21 0 /home/rasa/public_html/modules/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:28:40 2013 0 128.91.127.21 0 /home/rasa/public_html/plugins/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:29:14 2013 0 128.91.127.21 0 /home/rasa/public_html/templates/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:29:49 2013 0 128.91.127.21 0 /home/rasa/public_html/test/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:30:24 2013 0 128.91.127.21 0 /home/rasa/public_html/tmp/fq6YCntm.gif a _ i r rasa ftp 1 * c
Wed May 29 22:30:59 2013 0 128.91.127.21 3194 /home/rasa/public_html/.htaccess a _ o r rasa ftp 1 * c
Wed May 29 22:31:00 2013 0 128.91.127.21 4812 /home/rasa/public_html/.htaccess a _ i r rasa ftp 1 * c
Wed May 29 22:31:01 2013 0 128.91.127.21 6169 /home/rasa/public_html/templates/jpframework/index.php a _ o r rasa ftp 1 * c
Wed May 29 22:31:02 2013 0 128.91.127.21 11828 /home/rasa/public_html/templates/jpframework/index.php a _ i r rasa ftp 1 * c
Wed May 29 22:31:02 2013 0 128.91.127.21 303 /home/rasa/public_html/templates/system/index.php a _ o r rasa ftp 1 * c
Wed May 29 22:31:03 2013 0 128.91.127.21 6234 /home/rasa/public_html/templates/system/index.php a _ i r rasa ftp 1 * c
Thu May 30 00:57:10 2013 1 141.211.139.54 4815 /home/rasa/public_html/.htaccess a _ i r rasa ftp 1 * c
Thu May 30 00:57:11 2013 0 141.211.139.54 10988 /home/rasa/public_html/templates/jpframework/index.php a _ i r rasa ftp 1 * c
Thu May 30 00:57:12 2013 0 141.211.139.54 5396 /home/rasa/public_html/templates/system/index.php a _ i r rasa ftp 1 * c

kennysamuerto
30/05/2013, 12:28
Cita Publicado inicialmente por manoleet
Si son sites distintos con software distinto, empieza mirando los logs de FTP, que lo normal es que capturen la contraseña del cliente con un troyano en su PC.
+1

Sabiendo que son sitios diferentes, tiene toda la pinta.

manoleet
30/05/2013, 12:20
Si son sites distintos con software distinto, empieza mirando los logs de FTP, que lo normal es que capturen la contraseña del cliente con un troyano en su PC.

sdzzds
30/05/2013, 11:32
Estos jodíos....digo judíos... lo único que faltaba ya, que se unieran a la Europa del Este, China, etc. y otros paises cojoneros tocapelotas que están todo el dían dando por saco con las infecciones

max
30/05/2013, 11:17
pues no lo se... Pero no tienen Wordpress ni Joomla, son websites distintas que usan eso sí distintos scripts open-source para imagenes, ficheros, etc... Es seguro que lo han metido por un php pero no veo nada entero en los logs. También es que estos sitios tienen un montón de formularios . Lo estoy intentando cerrar por mod_security porque sino no acabaré.

** los antivirus supongo que saltan por que identifican la cadena, pero en teoría no se ejecuta el php que está dentro del los tags de CODE.. jejeje Pero de todas maneras he modificado la cadena "; #/0c0896# ?>
Me ha entrado desde antes de ayer desde webs de Israel, he bloqueado al país entero.

Si alguien sabe de alguna solución que detecte esta codificacion se agradecería. El clamav y el LMD no se enteran