¿Cómo un troyano como Trojan: JS / BlacoleRef.BV infecta un sitio web?

5

Hoy descubro que mi sitio web está infectado con Trojan: JS / BlacoleRef.BV. El servidor es un servidor compartido de una empresa de alojamiento.

¿Cómo llega un troyano como este al servidor web?

    
pregunta Corne Beukes 13.07.2012 - 14:51
fuente

4 respuestas

5

En su caso, es probable que la reciente vulnerabilidad de pérdida de credenciales de Plesk , que ha sido mass-exploited para instalar Blackhole.

Plesk es siempre el primero de los paquetes no deseados que desinstalo en un nuevo servidor. ¿Confiar mi administración a un saco de PHP al azar? No lo creo ...

    
respondido por el bobince 14.07.2012 - 13:04
fuente
3

Hay muchas maneras:

  • Vulnerabilidad en una aplicación web, permitiendo:
    • Cargue y ejecute códigos / binarios arbitrarios en el sistema.
    • Extracción de credenciales que se pueden usar para acceder a otros servicios.
  • Vulnerabilidad en el software del servidor (por ejemplo, Apache / IIS / PHP), que permite que el malware ejecute código arbitrario en el servidor.
  • Vulnerabilidad en el software del sistema (por ejemplo, kernel de Linux), que permite la ejecución remota de código.
  • Rompiendo contraseñas para FTP / SSH / webapps.
  • Uso de contraseñas predeterminadas en servidores no configurados / mal configurados.
  • Accediendo a archivos de configuración disponibles de manera abierta desde servidores mal configurados.
  • Malware en la máquina de sysadmin, robando credenciales.
  • Se están utilizando los ataques de ingeniería social / phishing para robar credenciales.

Todos son igualmente posibles.

    
respondido por el Polynomial 13.07.2012 - 17:52
fuente
2

Como se mencionó anteriormente, muchos robots intentan encontrar vulnerabilidades en su código o en los servicios de su servidor, que se utilizarán para colocar código de malware en su servidor.

Sin embargo, esta no es la única manera. Una práctica muy común es el malware en su computadora. Hay un montón de malwares de clientes FTP que roban sus credenciales. En algunos casos, las contraseñas de FTP se almacenan como texto sin formato en los archivos de configuración, algo muy fácil para el malware.

Verifique sus registros, verifique todos los archivos en su servidor, pero tampoco olvide ejecutar el análisis de AV en su PC.

    
respondido por el p____h 13.07.2012 - 16:34
fuente
0

En su mayoría, el virus es colocado allí por algunos bots. Siempre están utilizando otros agujeros de seguridad como aplicaciones web con errores para colocar el malware en un sitio web.

Debería revisar todo el sitio para ver las puertas traseras y el código explotable si encuentra un virus en él.

    
respondido por el Thomas Berger 13.07.2012 - 16:05
fuente

Lea otras preguntas en las etiquetas