¿Tengo un virus en mi sitio alojado?

3

Hace unas semanas contraté a alguien para que me construyera un sitio PHP muy simple. Compré un alojamiento PHP y un nombre de dominio, y le di todas las credenciales junto con la especificación de sus tareas.

Cuando terminó la fecha límite (fue una tarea realmente simple), me puse en contacto con él para ver algunos resultados y me pidió más tiempo. Finalmente, me di cuenta de que no podía hacer la tarea, así que le dije que ya no necesitaba sus servicios.

Hoy accedí a la página principal del sitio para ver si podía usar algo de lo que hizo, pero mi antivirus me bloqueó con una alerta de un virus llamado VBS: Agent-KZ [Trj] . (Ver la imagen de abajo).

Me contacté con mi proveedor de alojamiento y me dijeron que no detectaron nada.

Mis preguntas son:

  1. ¿Crees que este tipo hizo algo con el objetivo de hacerme daño?
  2. ¿Cómo puede dañarme este virus? ¿Qué tan peligroso es?
  3. Me preocupa mi contraseña de correo electrónico, ya que me registré en mi cuenta de Gmail en una pestaña diferente mientras intentaba acceder al sitio. ¿Debo cambiar mi contraseña?

Apreciaría tu consejo sobre mi problema. Echa un vistazo a la imagen de abajo para ver la advertencia del antivirus.

Actualizar

Estoy luchando con este problema, hasta ahora esto es lo que hice:

  1. Me puse en contacto con la empresa, pero me siguen diciendo que no encuentran nada en la raíz de mis documentos. Soy escéptico sobre esto, porque como es un alojamiento compartido, creo que el virus podría estar en cualquier lugar.

  2. Deshabilité la configuración del servidor DNS de mi panel de administración de GoDaddy, por lo que si alguien va a esa URL, no se infectará.

  3. Analicé todo el sistema infectado con Avast y encontré un archivo llamado f3PSSavr.src en el directorio System32. Logré borrarlo y actualmente estoy realizando un escaneo de tiempo de arranque también con Avast. Tengo curiosidad por lo que era eso? ¿Y cómo llegó allí? Analizo mis sistemas en busca de virus al menos una vez al mes y esto es nuevo. ¿Crees que podría venir a través de la URL infectada?

  4. Mi siguiente paso, una vez que finalice el análisis de arranque en mi computadora portátil, es borrar todos los cachés de los navegadores.

Entonces, ¿qué crees que es el proceso para solucionar el problema?

    
pregunta sfrj 23.05.2012 - 20:15
fuente

3 respuestas

3
  1. Quizás: probar que el desarrollador subió un "dropper" sería difícil. Teniendo en cuenta que las credenciales fueron proporcionadas al desarrollador, es posible que las credenciales se hayan transferido o hayan sido comprometidas (el sistema del desarrollador ya podría haber sido comprometido). Independientemente, a menos que desee iniciar una acción legal, centrarse en el punto de que su sitio está comprometido y trabajar para limpiarlo es más eficiente.

  2. El "malware" puede ser dañino. La diferencia en el término es que la aplicación dropper que Avast detectó es una forma de obtenga acceso a su sistema . Si el malware ha comprometido con éxito su sistema, es posible que un atacante haya instalado una puerta trasera. Dicho esto, parece que Avast detectó el cuentagotas por lo que es posible que el intento de infección se haya bloqueado.

Siempre puedes intentar ejecutar otros detectores de malware para ver si tu sistema ha sido comprometido. De lo contrario, si conoce a un buen profesional de la seguridad, siempre puede pedirles que echen un vistazo. Recomiendo no ir a las grandes tiendas de informática: los trabajadores a menudo tienen poco conocimiento o experiencia en esta área (obtienes lo que pagas).

Alternativamente, si el compromiso es una preocupación, entonces volver a crear una imagen del sistema y reinstalar el software solo de fuentes verificadas (es decir, medios de comunicación, sitios web de proveedores, etc.) reducirá la probabilidad de que se vuelva a infectar. Las reinfecciones son comunes cuando las personas hacen una copia de seguridad de los binarios y los vuelven a instalar en un sistema limpio. Una vez más, esta medida es si está seguro de que su sistema está comprometido y desea una mayor seguridad de que su sistema está limpio.

Para su información, si está interesado en obtener más información sobre el cuentagotas, busque aquí a esta aplicación por otros proveedores de AV / malware.

  1. SI! Debe cambiar su contraseña inmediatamente y, mientras lo hace, asegúrese de que no se haya autorizado el acceso a ninguna otra aplicación, no se han modificado las funciones de recuperación de la contraseña, etc. Cualquier otro sitio que use la misma contraseña también debe ser un punto de preocupación - cambie las contraseñas también (es decir, bancario, VPN, etc.) - preferiblemente a algo que sea diferente. Los administradores de contraseñas (es decir, Lastpass, KeePass, etc.) ayudan a administrar el uso de múltiples contraseñas para cada cuenta.

Buena suerte

    
respondido por el bangdang 23.05.2012 - 23:26
fuente
3

Suponiendo que todavía tenga credenciales para iniciar sesión en el sitio de alojamiento, inicie sesión y descargue los archivos y luego elimínelos del servidor. Usted, u otro, puede revisar los archivos para encontrar troyanos o código en las páginas que hacen referencia a sitios externos que podrían ser la fuente de los archivos.

Luego, cambie sus contraseñas al sitio, correo electrónico, etc., si aún no lo ha hecho.

Si tu antivirus atrapó el troyano, entonces no te ha infectado. Lo que debería estar buscando es otro virus que su AV no haya podido detectar. Revisar los archivos y el código del sitio lo facilitará y será más definitivo.

Espero que eso ayude.

    
respondido por el schroeder 24.05.2012 - 02:58
fuente
2

bueno ... es mejor esperar el peor escenario y pensar que el tipo (o alguien más) está tratando de dañarte a propósito, en ese caso podría instalar lo que se llama un "descargador" en el sitio web que descargará un troyano en tu computadora ...

He buscado en Google el nombre del virus, pero no tuve una buena respuesta, así que no estoy seguro de qué hace este virus, mi consejo:

1- cambiar todas las contraseñas que se guardaron previamente en su computadora DE OTRA PC

2- intenta iniciar sesión en tu cuenta desde un sistema Linux, el virus se paralizará y será inofensivo allí (en realidad es mejor hacerlo desde el paso 1)

3- Póngase en contacto con la compañía de alojamiento nuevamente y cuénteles sobre la historia completa con el nombre del virus o la captura de pantalla

4- realice una exploración completa en su PC para asegurarse de que sea la única amenaza

buena suerte ...

    
respondido por el HSN 23.05.2012 - 23:41
fuente

Lea otras preguntas en las etiquetas