Malware: Spip o Hosting?

Quique · Juillet 31, 2009, 1:41

Hola:

Dos de mis sitios basados en Spip estan siendo victimas de un codigo malicioso que agrega un iframe con una URL de tipo=>xm9.in y convierte el sitio en Potencialmente peligroso.
En Metrodelegados actualice la version de SPIP de 190 a 192e pensando en algun archivo desprotegido y sigue el problema.

El diagnostico de Google esta en:
http://www.google.com/safebrowsing/diagnostic?site=metrodelegados.com.ar

No se si la falla es de seguridad en Spip o del Hosting (que no atiende el telefono)

Alguien tiene alguna situacion similar?
Alguien sugiere alguna accion a seguir?

Saludos y gracias!
Quique

Joan_Carles · Juillet 31, 2009, 2:37

¿Tienes los directorios IMG, TEMP, CONFIG... con permisos 777?

El 31/07/09, MetroDel <master@metrodelegados.com.ar> escribió:

Hola:

Dos de mis sitios basados en Spip estan siendo victimas de un codigo
malicioso que agrega un iframe con una URL de tipo=>xm9.in y convierte el
sitio en Potencialmente peligroso.
En Metrodelegados actualice la version de SPIP de 190 a 192e pensando en
algun archivo desprotegido y sigue el problema.

El diagnostico de Google esta en:
Google Transparency Report

No se si la falla es de seguridad en Spip o del Hosting (que no atiende el
telefono)

Alguien tiene alguna situacion similar?
Alguien sugiere alguna accion a seguir?

Saludos y gracias!
Quique

--
Enviado desde mi dispositivo móvil

--
Joan Carles Martorell

jc@yerblues.net
+34.626048568

Adrian_Rosas · Juillet 31, 2009, 3:38

Hola, tuve el mismo problema. Primero te digo que no es spip. Seguramente tienes un troyano en tu pc, no recuerdo el nombre del que me ataco a mi. Pero si lo tienes y te conectaste por medio de ftp a tu hosting donde tienes tu sitio, este troyano grabo tu contraseña de conexion, luego agrega un codigo malicioso en el archivo index.php. Yo lo solucione sacando el troyano de mi pc, luego ubico el codigo malicioso en el index.php (te pone un iframe, es facil de reconocer ) y cambiando la contraseña de conexion ftp. Luego tienes que indicarle a google que vuelva a revisar tu sitio y en unas horas por suerte esta todo solucionado.

ESPERO haberte ayudado.

Adrián

El 31 de julio de 2009 10:41, MetroDel <master@metrodelegados.com.ar> escribió:

Hola:

Dos de mis sitios basados en Spip estan siendo victimas de un codigo malicioso que agrega un iframe con una URL de tipo=>xm9.in y convierte el sitio en Potencialmente peligroso.
En Metrodelegados actualice la version de SPIP de 190 a 192e pensando en algun archivo desprotegido y sigue el problema.

El diagnostico de Google esta en:
http://www.google.com/safebrowsing/diagnostic?site=metrodelegados.com.ar

No se si la falla es de seguridad en Spip o del Hosting (que no atiende el telefono)

Alguien tiene alguna situacion similar?
Alguien sugiere alguna accion a seguir?

Saludos y gracias!
Quique

Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

–

Naturalsoft - Adrián Rosas
Virgen del Valle N° 115 | Vaqueros | Salta | Argentina.
C.P. A4401XBA
0387.154676463
webmaster@naturalsoft.com.ar / www.naturalsoft.com.ar
MSN: webmaster@naturalsoft.com.ar

Adrian_Rosas · Juillet 31, 2009, 4:18

Este vitus infecta por medio de ftp, te pongo aqui informacion que encontre, arriba les conte mi experiencia con este virus.

Las últimas semanas un Malware/Virus de nombre “Gumblar” ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web.

Según ScanSafe han detectado incrementos de la cantidad de dominios infectados de un ~66% diario y hasta un ~180% entre semanas durante Mayo.

Qué hace este Virus ?

El código de Gumblar tiene como objetivo modificar las páginas de resultados de búsquedas en Google de los usuarios infectados, reemplazando los links por enlaces a más código malicioso.

Adicionalmente, roba los datos de usuario / clave FTP existentes en la pc para continuar propagando la infección, y abre una conexión de control contra un tercero que potencialmente da acceso a ciertos controles sobre la pc infectada sin conocimiento del usuario, para armado de Botnets.

Mi sitio está infectado / Google me marca como sitio con contenido Malicioso!

El virus no se propaga via XSS, sino modificando archivos via FTP a través de datos de usuario/clave obtenidos con el malware. Si tu PC o cualquier PC con acceso FTP a tu sitio está (o estuvo) infectada, estás en riesgo de sufrir una inyección de código.

El 31 de julio de 2009 11:37, Joan Carles Martorell <jc@yerblues.net> escribió:

¿Tienes los directorios IMG, TEMP, CONFIG… con permisos 777?

El 31/07/09, MetroDel <master@metrodelegados.com.ar> escribió:

Hola:

Dos de mis sitios basados en Spip estan siendo victimas de un codigo
malicioso que agrega un iframe con una URL de tipo=>xm9.in y convierte el
sitio en Potencialmente peligroso.
En Metrodelegados actualice la version de SPIP de 190 a 192e pensando en
algun archivo desprotegido y sigue el problema.

El diagnostico de Google esta en:
http://www.google.com/safebrowsing/diagnostic?site=metrodelegados.com.ar

No se si la falla es de seguridad en Spip o del Hosting (que no atiende el
telefono)

Alguien tiene alguna situacion similar?
Alguien sugiere alguna accion a seguir?

Saludos y gracias!
Quique

–
Enviado desde mi dispositivo móvil

–
Joan Carles Martorell
http://yerblues.net
jc@yerblues.net
+34.626048568

Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

–

Naturalsoft - Adrián Rosas
Virgen del Valle N° 115 | Vaqueros | Salta | Argentina.
C.P. A4401XBA
0387.154676463
webmaster@naturalsoft.com.ar / www.naturalsoft.com.ar
MSN: webmaster@naturalsoft.com.ar