| Ver tema anterior :: Ver tema siguiente |
| Autor |
Mensaje |
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
 Publicado: Mar Mar 30, 2010 8:28 am Asunto: Malware en mi servidor |
 |
|
He recibido un email por parte de Google de que mi web no es segura.
El mensaje me viene en ingles y me dice que en el servidor tengo alojado malware.
Tengo de servidor a Aruba. Les he enviado un email pero ya sabemos cuanto tardan en responder.
El caso es que estoy revisando los archivos y no encuentro los archivos maliciosos.
¿Conoceis alguna herramienta online, que me indique cuales son los archivos infectados?
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
 |
3pies
Soy de Yahoo!
Registrado: 19 Sep 2007
Mensajes: 959
Ubicación: Barcelona
|
| Publicado: Mar Mar 30, 2010 8:52 am Asunto: |
|
|
Para confirmar ese aviso: Desde las herramientas para webmasters: www.google.es/webmasters selecciona la web a chequear, y cliquea en el enlace de la izquierda "Diagnósticos", luego selecciona "Software malintencionado". Si tuvieras algo raro, te aparecería un aviso ahí.
_________________
Comidas, recetas, recetas de cocina, trucos de cocina, y consejos de cocina |
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Mar Mar 30, 2010 10:08 am Asunto: |
|
|
Me aparece en el control del sitemap el siguiente aviso:
Este sitio podría estar distribuyendo software malintencionado. Información detallada
En el que aparece el mensaje:
Este sitio aparece como sospechoso: la visita a este sitio web puede dañar su equipo.
Parte de este sitio ha sido marcado 2veces por actividad sospechosa durante los últimos 90 días.
¿Qué ocurrió cuando Google visitó este sitio?
De las 2 páginas analizadas en el sitio durante los últimos 90 días, 2 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2010-03-29, y se encontró contenido sospechoso en este sitio por última vez el 2010-03-29.
Malicious software includes 4 scripting exploit(s), 2 worm(s). Successful infection resulted in an average of 3 new process(es) on the target machine.
El software malicioso se encuentra alojado en 1 dominio(s), entre los que se incluyen sefojqnsthr.com/.
This site was hosted on 1 network(s) including AS31034 (ARUBA).
¿Ha actuado el sitio como intermediario dando lugar a una mayor difusión de software malicioso?
No parece que, durante los últimos 90 días, jmcweb.org haya actuado como intermediario en la infección de sitios.
¿Ha alojado este sitio software malicioso?
No, este sitio no ha alojado software malicioso durante los últimos 90 días.
¿Cómo ha ocurrido?
En algunos casos, existen terceras partes que añaden códigos malignos a sitios legítimos, lo que nos puede llevar a mostrar un mensaje de advertencia.
-------------------------------------------------
El mensaje no identifica con exactitud los archivos malignos.
Quiero evitar como ultima opción eliminar todos los archivos del servidor y subirlos de nuevo desde local.
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
tonipg39
Me gusta MSN!
Registrado: 14 Ago 2005
Mensajes: 457
|
| Publicado: Mar Mar 30, 2010 10:14 am Asunto: |
|
|
Hola Jhonn:
A nosotros tambien nos estan fastidiando bastante con los malware y que casualidad que la pagina la tenemos alojada en Aruba tambien.
Dios que desastre de seguridad de compañia.
Te indico los pasos que nosotros seguimos siempre:
1º- Mira la fecha de modificacion de los archivos, sobre todo de los php y html. Si encuentras alguno modificado recientemente o en una fecha que no has modificado tu, voila! busca en estos archivos codigo extraño o includes a javascript que no hayas añadido tu.
Lo mas normal es que te hayan modificado el index para que te cargue algun javascript corrupto. (por lo menos en nuestro caso)
2.- Una vez que hayas buscado todos los que creas que te han hackeado (generalmente no suelen ser muchos) subelos y enviales desde google webmaster una solicitud de revision.
No suelen tardar mucho, un dia entre que te revisan y que quitan el dichoso mensajito en los navegadores.
Si tienes mas problemas comentame bien por aqui, bien por privado.
Suerte Jhonn
_________________
Diseño web Diseño de paginas web.
Posicionamiento en Buscadores Posicionamiento en buscadores y altas en buscadores |
|
| Volver arriba |
|
|
3pies
Soy de Yahoo!
Registrado: 19 Sep 2007
Mensajes: 959
Ubicación: Barcelona
|
| Publicado: Mar Mar 30, 2010 10:50 am Asunto: |
|
|
Si busco tu nombre de dominio en google, en las SERPs, debajo del título de tu web, aparece el mensaje: "Este sitio puede dañar su equipo".
Otra opción a la que te plantea tonipg39: Si no quieres hacer de detective, buscando ficheros donde te hayan metido el malware, y si tienes una copia de seguridad de hace una semana o 10 días, por ejemplo, almacenada en local (en tu pc), yo la resubiría borrando todos los ficheros que haya actualmente.
_________________
Comidas, recetas, recetas de cocina, trucos de cocina, y consejos de cocina |
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Mar Mar 30, 2010 11:22 am Asunto: |
|
|
| 3pies escribió: | Si busco tu nombre de dominio en google, en las SERPs, debajo del título de tu web, aparece el mensaje: "Este sitio puede dañar su equipo".
Otra opción a la que te plantea tonipg39: Si no quieres hacer de detective, buscando ficheros donde te hayan metido el malware, y si tienes una copia de seguridad de hace una semana o 10 días, por ejemplo, almacenada en local (en tu pc), yo la resubiría borrando todos los ficheros que haya actualmente. |
La copia de seguridad no la tengo actualizada y es un problema.
Encontre tres ficheros dentro de una carpeta que quizas sean parte del problema. Tenian codigos referentes a gadgets. Los he eliminado.
He modificado el index, ya que el panel de control me indica:
Ejemplos de páginas que podrían estar distribuyendo software malintencionado:
http://jmcweb.org/
http://www.jmcweb.org/
Por otro lado todos los archivos .mdb (hay como 100) tuvieron modificacion hoy a las 9.30 todos 
He solicitado la revisión sin saber a ciencia cierta si esta solucionado.
En cualquier caso como comentas tonipg39, estos tíos de Aruba ofrecen un servicio pésimo 
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
tonipg39
Me gusta MSN!
Registrado: 14 Ago 2005
Mensajes: 457
|
| Publicado: Mar Mar 30, 2010 11:34 am Asunto: |
|
|
Con las copias de seguridad ten cuidado, porque google no lo detecta inmediatamente. Nos hemos encontrado desde que lo detecta a los 2 dias como a las 3 semanas.
Si es la primera vez que te ha pasado, puede ser que google se haya dado cuenta hace bastante tiempo.
Despues google te va revisando mas a menudo si tienes malware o no.
_________________
Diseño web Diseño de paginas web.
Posicionamiento en Buscadores Posicionamiento en buscadores y altas en buscadores |
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Mar Mar 30, 2010 11:39 am Asunto: |
|
|
Buenos lo encontre 
Me habian duplicado el fichero default.asp a default1.asp y me habian incluido un código similar a este.
Captura de pantalla de StopBadware
A ver si Google me realiza la revisión. ¿Creo que la realiza una persona física?
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
tonipg39
Me gusta MSN!
Registrado: 14 Ago 2005
Mensajes: 457
|
| Publicado: Mar Mar 30, 2010 11:46 am Asunto: |
|
|
Los archivos .mdb te seran cambiados siempre que haya una operacion de modificacion a la base de datos.
A nosotros nos solian hackear archivos javascript. Generalmente encontrabamos un monton de lineas de codigo ininteligibles, como encriptado, que era lo que daba el problema.
Cuando llevas un tiempo infectado, desde google webmasters tools, hay una opcion que te dira cuales son los archivos que tienes con malware (puede ser que no todos), o te dira el numero de archivos que ha encontrado infectados. Eso te dara una idea.
Para la reconsideracion, solicitala habiendo revisado tu web a conciencia, ya que la primera vez que envias una reconsideracion, si esta solucionado el problema a las pocas horas puedes tener la web ya sin el mensaje, pero conforme vas enviando mas solicitudes sin que este arreglado, tardan mas en revisar tu sitio.
Suerte.
_________________
Diseño web Diseño de paginas web.
Posicionamiento en Buscadores Posicionamiento en buscadores y altas en buscadores |
|
| Volver arriba |
|
|
tonipg39
Me gusta MSN!
Registrado: 14 Ago 2005
Mensajes: 457
|
| Publicado: Mar Mar 30, 2010 11:47 am Asunto: |
|
|
Si que es ese codigo. Mira a ver si hay mas archivos infectados.
Te hubiera sido bueno ver en que fecha modificaron ese archivo para ver si alguno mas fue modificado en esa fecha. Quiza todavia lo puedas ver.
_________________
Diseño web Diseño de paginas web.
Posicionamiento en Buscadores Posicionamiento en buscadores y altas en buscadores |
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Mar Mar 30, 2010 11:50 am Asunto: |
|
|
| tonipg39 escribió: | Si que es ese codigo. Mira a ver si hay mas archivos infectados.
Te hubiera sido bueno ver en que fecha modificaron ese archivo para ver si alguno mas fue modificado en esa fecha. Quiza todavia lo puedas ver. |
Lo modificaron ayer a las 20:45.
Voy a darle otro repaso.
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
necochea
Yo uso Google
Registrado: 11 Jun 2006
Mensajes: 1131
Ubicación: argentina
|
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Mie Mar 31, 2010 9:10 am Asunto: |
|
|
Bueno por fin ya esta solucionado y ya el flujo de visitas vuelve con normalidad.
Les envie un email a los de Arbuba ayer por la mañana y en su linea, aun estoy esperando.
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
tonipg39
Me gusta MSN!
Registrado: 14 Ago 2005
Mensajes: 457
|
| Publicado: Jue Abr 01, 2010 10:08 am Asunto: |
|
|
Hola Jhonn:
Me alegro que lo hayas solucionado. Solo una cosa, hazte a la idea de migrar el proyecto fuera de Aruba, ya que a partir de ahora te van a infectar continuamente (a menos que cambien algo en la compañia).
Solo comentarte que estos dias han insertado malware en muchisimas paginas de aruba. A nosotros en todas. 
Estamos ahora arreglando. Siempre es el mismo codigo en el index.php.
Lamentable lo de esta compañia en seguridad. No voy a dejar ni un dominio mas alli.
Y todo el mundo que tenga un dominio en Aruba, que lo mire, porque seguro que esta infectado.
_________________
Diseño web Diseño de paginas web.
Posicionamiento en Buscadores Posicionamiento en buscadores y altas en buscadores |
|
| Volver arriba |
|
|
John125
Me gusta MSN!
Registrado: 02 May 2007
Mensajes: 490
Ubicación: Internet
|
| Publicado: Jue Abr 01, 2010 12:17 pm Asunto: |
|
|
| tonipg39 escribió: | Hola Jhonn:
Me alegro que lo hayas solucionado. Solo una cosa, hazte a la idea de migrar el proyecto fuera de Aruba, ya que a partir de ahora te van a infectar continuamente (a menos que cambien algo en la compañia).
Solo comentarte que estos dias han insertado malware en muchisimas paginas de aruba. A nosotros en todas.
Estamos ahora arreglando. Siempre es el mismo codigo en el index.php.
Lamentable lo de esta compañia en seguridad. No voy a dejar ni un dominio mas alli.
Y todo el mundo que tenga un dominio en Aruba, que lo mire, porque seguro que esta infectado. |
Como te comente aun estoy esperando la respuesta por parte de los aruba (lamentable la asistencia). Les comente a que se debe el agujero de seguridad y que existen continuos hackeos a bastante webs alojadas en aruba.
De momento lo que he hecho por mi cuenta es cambiar las contraseñas de acceso ftp
_________________
foros de viajes.
Fotos de viajes y turismo. |
|
| Volver arriba |
|
|
|
FAQ
Buscar
Miembros
Grupos de Usuarios
Registrarse
Perfil
Entre para ver sus mensajes privados
Login
