OVH Community, your new community space.

mensaje de google spyware detectado en web


Sentinel
05/02/2011, 16:53
Parece que todo ha vuelto a la normalidad, ya no salen los cartelazos rojos y google "certifica" que el sitio no es potencialmente peligroso.

Saludos

Sentinel
05/02/2011, 03:15
Hola a todos:

Me ha pasado esto mismo, hace tan solo unos días y bueno, tras revisar varios sitios joomla 3 actualizados a la última version 1.5.22, y aunque los he modificado, han vuelto a incluir los iframes... No solo se han visto afectado algunos joomlas, si no también webs 100% en html y otros sistemas de gestion también recientemente actualizados.

Tras darle muchas vueltas y eliminar todos los iframes, revisar logs de apache, acceso por ftp, etc.. con la herramienta Malware Detector de RF-NX que es una herramienta libre, he conseguido identificar ciertos malwares en diferentes directorios, he eliminado directament el contenido tras revisarlo porque el código está ofuscado y no veo lo que hace pero lo sabemos por sus efectos.

En mi ocasión, he cambiado todas las pass de ftp, he revisado mi equipo con malwarebytes, spyware destroy, etc.. para descartar que hayan sacado la pass de cliente ftp... o por el contrario de cualquier usuario con ftp troyanizado.

De momento he tomado la precaución de desactivar la identificación plana del acceso ftp, desactivar todos los accesos por shell ( aunque eso siempre estuvo asi ) y monitorear con Malware Detector las modificaciones de ficheros en el directorio /home y en puesto el directorio /tmp en no exec. También añadir que he deshabilitado wget y ciertos comandos esenciales para podar cargar contenido en el servidor y en cuestion ejecurtarlo.

Por último he solicitado que revisen el contenidos en google de mis sitios en este caso afectados por el cartelazo rojo de preligro, diciendo que es una web no segura.

Si alquien puede aportar algo más... estaré agradecido.. si alguien necesita ayuda pues.. lo mismo..

Suertee!

PacoSS
23/10/2010, 19:30
Puedes instalar el ClamAV fácilmente, es gratuito.

Seguro que nuestro amigo Google te ayudará enseguida.

DarKZeroS
23/10/2010, 18:42
me podeis decir como scaneo mi servidor de virus tengo un centos

tonneti
20/10/2010, 15:04
Debo reconocer mi gran insensatez (gilipollez) al usar el IE6 dentro del real player para descargar unos videos de Vimeo, ahí fue donde me contamine fijo.

No solo me jodio los index.php, tb algún "main.php" "admin.php" en fin, en los htaccess no veo codigo nuevo, solo que hay un espacio en blanco debajo del codigo que por si acaso he "borrado" hasta llegar al texto (no se si se entiende).

A que te refieres concretamente con suplantar la identidad en el wt?

PacoSS
20/10/2010, 11:42
Dark -> tienes un troyano

Ale, a darle al spyboyt, malwarebytes y familia.

DarKZeroS
20/10/2010, 04:07
Me pasa lo mismo que a vosotros pero he revisado los index.php y .htaccess y no veo nada raro he mirado la fecha de moficacion de los archivos y tampoco veo que hayan sido modificados asi que donde debo mirar?? alguien sabe que debo buscar o mirar

es curioso pero al entrar en la cuenta de webmaster de google y visto que tambien me habian suplantado la identidad en google ... asi que entrar por si acaso por que lo mas seguro que tambien la tengais suplantada

tonneti
18/10/2010, 19:52
Gracias xavisent, en mis dos dominios no estaban afectados los "htaccess", solo muchos "index.php/html" (no todos).

Ya he leido algo de que el problema podría venir del uso de mi pc, el caso es que en una de las webs no entro hace meses desde el ftp, aunque si como me dices pueden entrar automáticamente ha podido ser eso tb, si bien tengo un tercer dominio+alojamiento que no se ha infectado....

Ayer pedí el "review" en google y ya me han quitado el aviso

Un saludo,

p.d.: añadir que el Spybot S&D me solucionó varios "problemas"

xavisent
18/10/2010, 18:36
Este tipo de ataques son habituales desde ordenadores infectados por spyware, o clientes de ftp con bugs de seguridad, a través de los cuales te sacan la contraseña ftp, acceden y te insertan habitualmente un .htaccess contaminado.

Arréglalo y utilizando las herramientas de google para webmasters, les pides que la vuelvan a analizar, en unas 24h. debería estar solucionado +/- en el caso de que aparezca el aviso al buscar tu web.

tonneti
18/10/2010, 02:01
Supongo que hay miles de servidores con simples archivos index.html e index.php que no han sufrido estos ataques, nos hablas del codigo o software usado y lo entiendo, pero me choca ver que me han inyectado/infectado los index.php de Wordpress 3.0, Indexhibit, phpBB3 y varios index.html que tenia para ocultar el listado de archivos, se supone que tengo que pensar que es culpa de mis archivos/software?¿

Un saludo,

virtual
18/10/2010, 00:02
Ovh poco puede hacer si el problema está en el código de la web que tengan hecha, ya sea hecha a mano como con un script, tipo phpbb, joomla, etc...

Intenten tener siempre su web actualizada si es con script y no instalar modulos poco fiables.

tonneti
17/10/2010, 23:02
Me acaba de pasar lo mismo en dos dominios, espero que tomen medidas desde OVH.

UPDT.: Despues de mas o menos 1 hora creo haber eliminado todo.

Alguna forma de protegerse de otro ataque similar?¿ Se puede pedir alguna responsabilidad a OVH?¿

Imval
01/10/2010, 13:24
Hola,

Me pasó lo mismo.

Lo solucione editando todos los index o cualquier fichero con index como parte del nombre (ejemplo index2) ya que estaban todos infectados, pero ningún antivirus me lo solucionaba. El código del virus estaba después de /html y borrando la linea se solucionó.

Un saludo

Ferny
30/09/2010, 19:06
Me pasó hace justo dos días, quizás sea un ataque masivo desde la red de OVH... Insertan un