OVH Community, your new community space.

Han modificado los archivos index.html


MalastiC
16/02/2009, 21:14
Búscate la vida pero ese Joomla está obsoleto. Además a dentro de las versiones 1.1X está obsoleto también.

Te aconsejaría migrar a la versión 1.5.9 He tenido que hacerlo para varios clientes y si, son unas horas, pero te aseguras estar protegido.

Un saludo,

neojordan
27/01/2009, 19:18
Gracias, me será de mucha ayuda.

virtual
24/01/2009, 02:17
Simplemente eliminar el codigo script que han insertado en todos los archivos html y php, que es el que ejecuta el virus que al abrir cualquier archivo con ese código, te hace descargar a tu pc.

Power
23/01/2009, 16:20
Gracias, pero me refería a entender lo que hacen esas líneas de código del script, no a cómo se instala y ejecuta.

Saludos

virtual
23/01/2009, 10:32
Buena explicación romeo

Romeo
23/01/2009, 10:08
  1. Para crear el script lo primero que haces es ir a tu consola SSH y esciribir:
    Código:
    nano script.pl


  2. Luego copias esto y lo pegas dentro:
    Código:
    #!/usr/bin/perl
    
    use strict;
    use File::Find;
    use Fcntl ':flock';
    use Getopt::Long;
    
    my $user = "";
    
    my $options_okay = GetOptions( 'u=s' => \$user );
    
    die("No User") if !$user;
    
    
    my $root_dir = "/home/$user/public_html";
    
    
    find( sub {
    
       my $file = $File::Find::name;
    
        return unless -f $file;
       return unless ($file =~ /\.(htm|html|php|tpl)/i );
    
       system("chown $user $file");
    
       open my $FILE, '<', $file or die $!;
        flock($FILE,LOCK_SH);
        my $data = do{ local $/; <$FILE> };
        close $FILE;
    
        if( $data =~ s!.*?.*(\s* )?.*?$!!msi ){
            open my $FILE, '>', $file or die $!;
           flock($FILE,LOCK_EX);
           print {$FILE} $data;
           close $FILE;
    
           print "$file - cleaned\n";
        }
    
    
    },
    
    $root_dir);


  3. Luego pulsas Ctrl+O, le das al Intro y luego pulsas Ctrl+X

  4. Ahora escribes en consola:
    Código:
    chmod 777 script.pl
  5. Hecho esto simplemente tienes que ejecutar el comando:
    Código:
    perl script.pl -u usuario




Si tienes alguna duda, avisame.

Lo se, me explico fatal, pero algo es algo...

Power
23/01/2009, 08:21
Hola,

Virtual, ¿cómo actúa ese script?
He intentado entenderlo, pero no lo consigo.
(No entiendo Perl, lo mío es el PHP )

Gracias

Saludos

virtual
23/01/2009, 01:50
Hay un script para desinfectar los archivos que hayan sido modificados, script que se ejecuta desde root.

Código:
#!/usr/bin/perl

use strict;
use File::Find;
use Fcntl ':flock';
use Getopt::Long;

my $user = "";

my $options_okay = GetOptions( 'u=s' => \$user );

die("No User") if !$user;


my $root_dir = "/home/$user/public_html";


find( sub {

    my $file = $File::Find::name;

    return unless -f $file;
    return unless ($file =~ /\.(htm|html|php|tpl)/i );

    system("chown $user $file");

    open my $FILE, '<', $file or die $!;
    flock($FILE,LOCK_SH);
    my $data = do{ local $/; <$FILE> };
    close $FILE;

    if( $data =~ s!.*?.*(\s* )?.*?$!!msi ){
        open my $FILE, '>', $file or die $!;
        flock($FILE,LOCK_EX);
        print {$FILE} $data;
        close $FILE;

        print "$file - cleaned\n";
    }


},

$root_dir);
Este código lo guardais en un archivo.pl

Luego desde ssh, ejecutais el siguiente comando:

Código:
perl archivo.pl -u usuario
La palabra usuario, la cambiais por el usuario del hosting.

Salteador
22/01/2009, 18:18
Cuando tienes muchas webs y no puedes estar encima de cada instalacion lo que debes hacer es asegurar el servidor, por ejemplo el mod_security casi seguro que te hubiese salvado, incluso el suhosin, todo es mas un firewall que bloquee las IPs cuando lo intenten varias veces te ahorra estos dolores de cabeza, y que conste que a mi ya me hace hace 6 años cuando empece en la venta de hosting, hasta los backups me los corrompieron.

Hay empresas que por 50-100$ te aseguran el servidor, te recomiendo algo asi si no estas muy puesto en administracion de servidores.

TP_spider
22/01/2009, 00:48
Si los archivos de joomla están modificados manualmente por ti, es mas complicado actualizar, por lo demás la Base de datos debería de soportar perfectamente una actualización.
La cuestión es que una version tan antigua es un peligro, los Spamer y Hackers escanean la red constantemente en busca de versiones con agujeros.

neojordan
21/01/2009, 23:38
jejej... 1.5.8.. ya me dirás tu a mi como paso de la 1.0.13 a la 1.5 y además que funcionen todos los componentes... es imposible hacer el cambio.

TP_spider
21/01/2009, 21:21
Esa versión es muy antigua y está llena de vulnerabilidades, ya tienes la v.1.5.8 , es muy importante tener estas aplicaciones actualizadas para que no se conviertan en un coladero.

neojordan
21/01/2009, 19:05
Yo creo que ya lo tengo claro... uso joomla 1.0.13...

He cambiado los permisos de 775 a 755. Creo que habia un archivo index.html que estaba en 755 y ese no lo han tocado. A ver si hay suerte y no vuelve a pasar.

Power
21/01/2009, 17:03
Cita Publicado inicialmente por mikelsanz
A mi eso me ha pasado con hosting de pago, sin que haya ningún script en la web. En web estática
En ese caso, supongo que habrán tenido que acceder al servidor.

Saludos

mikelsanz
21/01/2009, 16:48
A mi eso me ha pasado con hosting de pago, sin que haya ningún script en la web. En web estática

TP_spider
21/01/2009, 11:12
Pero... si no te han accedido a traves del server tendran que haber dejado rastro en los Logs de Apache...

A mi me preocuparía mas "como lo han hecho" que "quien lo ha hecho" es muy probable que sea una IP que no podras denunciar, sin embargo si detectas como se ha efectuado la intrusión podrás poner los medios necesarios para evitarla nuevamente.

Tampoco es que yo sepa mucho de esto pero es lo que yo haría. XD

xico1984
20/01/2009, 20:44
Cita Publicado inicialmente por neojordan
Hola, hoy a las 5:46 AM han modificado todos los archivos index.html,index.php, form.html,iframe.html y blank.html añadiendo al final del código de cáda página un iframe que carga un virus cuando cargas la web.

Los permisos de los archivos eran 775 y ya están todos corregidos, pero me gustaría saber si hay alguna forma de averiguar quien ha sido.

He mirado en los logs de la web (750mb de logs!!!) pero solo pone los archivos que han sido solicitado del tipo imágenes y tal, no había ni rastro de index.html o index.php, etc.

¿Cómo puedo saber qué ip ha modificado un archivo?

Ah, otro dato, solo han modificado una web, por lo que creo que no han accedido a todo el server. No se cómo lo han hecho.
A mi me lo hicieron en una d mis webs. Y lo hicieron a través de un bug del gallery2. Si tienes scripts prefabricados famosillos sin actualizar, míratelo bien, porque puede que se hayan metido por ahí.

neojordan
20/01/2009, 17:44
Hola, hoy a las 5:46 AM han modificado todos los archivos index.html,index.php, form.html,iframe.html y blank.html añadiendo al final del código de cáda página un iframe que carga un virus cuando cargas la web.

Los permisos de los archivos eran 775 y ya están todos corregidos, pero me gustaría saber si hay alguna forma de averiguar quien ha sido.

He mirado en los logs de la web (750mb de logs!!!) pero solo pone los archivos que han sido solicitado del tipo imágenes y tal, no había ni rastro de index.html o index.php, etc.

¿Cómo puedo saber qué ip ha modificado un archivo?

Ah, otro dato, solo han modificado una web, por lo que creo que no han accedido a todo el server. No se cómo lo han hecho.