mensaje de google spyware detectado en web
Sentinel
05/02/2011, 16:53
Parece que todo ha vuelto a la normalidad, ya no salen los cartelazos rojos y google "certifica" que el sitio no es potencialmente peligroso.
Saludos
Sentinel
05/02/2011, 03:15
Hola a todos:
Me ha pasado esto mismo, hace tan solo unos días y bueno, tras revisar varios sitios joomla 3 actualizados a la última version 1.5.22, y aunque los he modificado, han vuelto a incluir los iframes... No solo se han visto afectado algunos joomlas, si no también webs 100% en html y otros sistemas de gestion también recientemente actualizados.
Tras darle muchas vueltas y eliminar todos los iframes, revisar logs de apache, acceso por ftp, etc.. con la herramienta Malware Detector de RF-NX que es una herramienta libre, he conseguido identificar ciertos malwares en diferentes directorios, he eliminado directament el contenido tras revisarlo porque el código está ofuscado y no veo lo que hace pero lo sabemos por sus efectos.
En mi ocasión, he cambiado todas las pass de ftp, he revisado mi equipo con malwarebytes, spyware destroy, etc.. para descartar que hayan sacado la pass de cliente ftp... o por el contrario de cualquier usuario con ftp troyanizado.
De momento he tomado la precaución de desactivar la identificación plana del acceso ftp, desactivar todos los accesos por shell ( aunque eso siempre estuvo asi ) y monitorear con Malware Detector las modificaciones de ficheros en el directorio /home y en puesto el directorio /tmp en no exec. También añadir que he deshabilitado wget y ciertos comandos esenciales para podar cargar contenido en el servidor y en cuestion ejecurtarlo.
Por último he solicitado que revisen el contenidos en google de mis sitios en este caso afectados por el cartelazo rojo de preligro, diciendo que es una web no segura.
Si alquien puede aportar algo más... estaré agradecido.. si alguien necesita ayuda pues.. lo mismo..
Suertee!
Puedes instalar el ClamAV fácilmente, es gratuito.
Seguro que nuestro amigo Google te ayudará enseguida.
DarKZeroS
23/10/2010, 18:42
me podeis decir como scaneo mi servidor de virus tengo un centos
Debo reconocer mi gran insensatez (gilipollez) al usar el IE6 dentro del real player para descargar unos videos de Vimeo, ahí fue donde me contamine fijo.
No solo me jodio los index.php, tb algún "main.php" "admin.php" en fin, en los htaccess no veo codigo nuevo, solo que hay un espacio en blanco debajo del codigo que por si acaso he "borrado" hasta llegar al texto (no se si se entiende).
A que te refieres concretamente con suplantar la identidad en el wt?
Dark -> tienes un troyano
Ale, a darle al spyboyt, malwarebytes y familia.
DarKZeroS
20/10/2010, 04:07
Me pasa lo mismo que a vosotros pero he revisado los index.php y .htaccess y no veo nada raro he mirado la fecha de moficacion de los archivos y tampoco veo que hayan sido modificados asi que donde debo mirar?? alguien sabe que debo buscar o mirar
es curioso pero al entrar en la cuenta de webmaster de google y visto que tambien me habian suplantado la identidad en google ... asi que entrar por si acaso por que lo mas seguro que tambien la tengais suplantada
Gracias xavisent, en mis dos dominios no estaban afectados los "htaccess", solo muchos "index.php/html" (no todos).
Ya he leido algo de que el problema podría venir del uso de mi pc, el caso es que en una de las webs no entro hace meses desde el ftp, aunque si como me dices pueden entrar automáticamente ha podido ser eso tb, si bien tengo un tercer dominio+alojamiento que no se ha infectado....
Ayer pedí el "review" en google y ya me han quitado el aviso
Un saludo,
p.d.: añadir que el Spybot S&D me solucionó varios "problemas"
xavisent
18/10/2010, 18:36
Este tipo de ataques son habituales desde ordenadores infectados por spyware, o clientes de ftp con bugs de seguridad, a través de los cuales te sacan la contraseña ftp, acceden y te insertan habitualmente un .htaccess contaminado.
Arréglalo y utilizando las herramientas de google para webmasters, les pides que la vuelvan a analizar, en unas 24h. debería estar solucionado +/- en el caso de que aparezca el aviso al buscar tu web.
Supongo que hay miles de servidores con simples archivos index.html e index.php que no han sufrido estos ataques, nos hablas del codigo o software usado y lo entiendo, pero me choca ver que me han inyectado/infectado los index.php de Wordpress 3.0, Indexhibit, phpBB3 y varios index.html que tenia para ocultar el listado de archivos, se supone que tengo que pensar que es culpa de mis archivos/software?¿
Un saludo,
Ovh poco puede hacer si el problema está en el código de la web que tengan hecha, ya sea hecha a mano como con un script, tipo phpbb, joomla, etc...
Intenten tener siempre su web actualizada si es con script y no instalar modulos poco fiables.
Me acaba de pasar lo mismo en dos dominios, espero que tomen medidas desde OVH.
UPDT.: Despues de mas o menos 1 hora creo haber eliminado todo.
Alguna forma de protegerse de otro ataque similar?¿ Se puede pedir alguna responsabilidad a OVH?¿
Hola,
Me pasó lo mismo.
Lo solucione editando todos los index o cualquier fichero con index como parte del nombre (ejemplo index2) ya que estaban todos infectados, pero ningún antivirus me lo solucionaba. El código del virus estaba después de /html y borrando la linea se solucionó.
Un saludo
Me pasó hace justo dos días, quizás sea un ataque masivo desde la red de OVH... Insertan un
20comunicacion
30/09/2010, 16:04
No, es problable que tengas código inyectado en tus ficheros. Descárgatela y analízala con un antivírus.
nightduke
30/09/2010, 14:43
Intento acceder a una pagina web alojada en ovh, me sale un mensaje avisandome que esa pagina web tiene virus...
Que consulte StopBadware.org.
¿Como puedo saber si mi web tiene virus?
Yo creo que en ese servidor de hosting hay una web que tiene virus y afecta al resto de los dominios alojados en dicho servidor...