Eliminar troyano en mi web
Os cuento.
Hace un par de días NaYa se puso en contacto conmigo para avisarme que al entrar en mi web su antivirus, Kaspersky, detectó un troyano.
Mi antivirus es el mismo, recién comprado hace 2 días, y en efecto, me dice lo siguiente...
detectado: Un caballo de troya Trojan-Clicker.HTML.IFrame.fp
Captura del aviso del Kaspersky:
Pasé el Kaspersky por el PC, y lo poco que me detectó me lo emiminó, diciendo que el PC estaba ya limpio.
NaYa me comentó que podría ser cosa del servidor de mi hosting por lo que me he puesto en contacto con ellos y me han dicho esto:
Estimado Sr. Castelló
Muchas gracias por su email.
Nuestros servidores disponen de los sistemas de seguridad necesarios para proteger a los usuarios que en el residen. Hemos accedido a su web sin encontrar ninguna anomalia. Si usted tiene cualquier consulta adicional no dude en ponerse en contacto con nosotros. También me comentó que algo similar le ocurrió a Karramarro por lo que le envié un mail a través de su web para ver si podría orientarme en cómo solucionarlo, ya que aunque en un post lo comentásteis por encima no mencionábais la solución.
Y ya de paso, que problemas puede causar un troyano?
A ver si alguien sabe como mandarlo al carajo... Muchas gracias !
fanta
Cambiando la contraseña del ftp no solucionas nada ya que de por si usar el protocolo FTP y no SFTP es inseguro ya que la password viaja en plano y es susceptible por tanto de ataques man-in-the-middle por ejemplo.
Por un lado bien por quitar las lineas del iframe. Lo que te han colado es un iframe en tu web que han añadido al index.html y esto supone que el visitante de tu web realiza peticiones a tu server y al mismo tiempo al server donde redirige el iframe (donde esta el troyano que le clavan a tus visitantes).
No es por tanto que tu server este troyanizado (aunque tampoco ha de descartarse) y si más bien que tu web esta troyanizando visitantes.
Han podido entrar a tu server posiblemente desde tu formulario de contacto y te han inyectado un shellcode desde el que luego te han clavado el iframe.
Si lo han realizado una vez es posible que ocurra de nuevo. Revisa tu código.
castelló
LO SOLUCIONÉ !! :D
Me descargué el archivo index.html del FTP y comparé su contenido con el de el archivo index.html de mi PC, abriéndolos ambos en Dreamweaver ya que al ir en colores pues las diferencias son más fácilmente localizables.
En efecto, en el del FTP había un "texto extra" de unas 4 líneas y en negro.
Lo que he hecho primero es cambiar la contraseña de acceso al FTP y después sustituir el index infectado por el bueno.
Ya está :)
Gracias a todos por vuestra ayuda !!
castelló
Gracias Rubenzzo.
Ya me he puesto en contacto con 1&1 a ver qué me cuentan en esta ocasión pq quizás no quieran reconocerlo...
Os diré...
belen_c
a mi si me sigue saliendo el aviso... :(
rubensso
Pues... parece ser y lo siento mucho que se trata de un troyano
http://www.joomlaspanish.org/foros/showthread.php?p=62925
rubensso
Hey perdona por no responder, si no veo el email que me mandas ni me doy cuenta xDD
Fijate en el codigo fuente del index
Tienes que quitar todo esto (o arreglarlo):
<iframe></iframe><script>function v476627dde314e(v476627dde3948){ var v476627dde4140=16; return(parseInt(v476627dde3948,v476627dde4140));}function v476627dde5131(v476627dde592a){ function v476627dde6520 () {return 2;} var v476627dde5d25='';for(v476627dde6121=0; v476627dde6121<v476627dde592a.length; v476627dde6121+=v476627dde6520()){
....
El iframe url, y las cadenas numericas tan largas del javascript son lo que inducen a los antivirus a saltar.[/code]
castelló
Un amigo me ha dicho que su NOD32 ha detectado el virus por lo que no es solamente tema del Kaspersky.
Decir que volví a subir la wen entera pero sigue ahí el bichejo...
Rubensso, andas por ahí?
Lo dicho en el comentario anterior, que no encuentro ese frame...¿Hay alguna manera de encontrarlo que yo no sepa?.
De momento no me ha avisado nadie más, no sé si porque no lo han detectado o simplemente pq miran hacia otro lado, pasan de la web y listo...
Bueno, a ver si consigo mandarlo al carajo de una vez...
castelló
Buenas Rubensso.
En serio tío, he repasado el index(la portada) de arriba abajo y no he encontrado el iframe que me comentas... ¿Podría estar en otro lado?...
Gracias.
rubensso
Pues el iframe sólo lo vi en la pagina principal que fue el único fuente que vi. Vamos es que tienes un iframe de 1 px por 1 px y el iframe está vacio no apunta a ningun sitio src='url'.
El iframe se usaba como los marcos frames, pero en vez de tener que defirnir un html que los contenga se incrusta el iframe en el html directamente.
Con las conexiones de hoy en día estas técnicas no tienen sentido no importa repetir un menu apenas se nota.
¿Se solucionó elminándolo?
castelló
NaYa:
por favor, ya has hecho de sobra, sino es por tí ni me hubiera dado cuenta ya que el Kaspersky me lo compré debido a ésto. Gracias simpática ;)
rubensso:
pues sí que son tikismikis, sí. No tenía ni idea que podrían funcionar así tb...
Yo mismo me curré la web a trancas y barrancas por lo que seguramente tendrá un montón de cosas que mejorar pero como los presupuestos que me daban eran demasiado para mi bolsillo pues no tuve más remedio.
Un iframe es un marco para organizar un poco la página y hacer que contenga algo, una galería, botones, etc...¿no?...
¿En qué secciones los has localizado?...
Gracias rubensso .
castelló
NaYa:
por favor, ya has hecho de sobra, sino es por tí ni me hubiera dado cuenta ya que el Kaspersky me lo compré debido a ésto. Gracias simpática ;)
rubensso:
pues sí que son tikismikis, sí. No tenía ni idea que podrían funcionar así tb...
Yo mismo me curré la web a trancas y barrancas por lo que seguramente tendrá un montón de cosas que mejorar pero como los presupuestos que me daban eran demasiado para mi bolsillo pues no tuve más remedio.
Un iframe es un marco para organizar un poco la página y hacer que contenga algo, una galería, botones, etc...¿no?...
¿En qué secciones los has localizado?...
Gracias rubensso .
rubensso
Hola Castello, lo más probable es que el antivirus en cuestión considere que la forma en la que está hecha tu web es peligrosa, he visto saltar antivirus por algúna libreria java script que estés usando que no le guste, así son de chulos.
En tu web en concreto, he visto unos iframes vacios, no se si lo usarás para pintar ahí algo con java script, si no los usas borralás.
Busca esto en el código y borra:
iframe src='http://url' width='1' height='1' style='visibility: hidden;' /iframe
belen_c
suerte Castelló, siento no saber más para echarte un cable :)
castelló
Pues mira, me quedo más tranqui, pero me queda un atisbo de mosqueo.
Lo que voy a hacer(ya me lo sugirión NaYa en su día) es quitarla y volverla a subir al servidor,a ver q tal.
Gracias x8 !
x8
castelló
Sigo con el bicho.... Aunque parece ser que solamente lo reconoce Kaspersky por lo que me han dicho amigos míos. ¿O sea que quizás sea un error del Kaspersky?...
Yo estaba pensando más bien esto mismo castello, si tu proveedor te da seguridad de que no hay nada en tu web y además lo has analizado con otros antivirus sin encontrar nada yo no le darías más vueltas..
Y a tu pregunta de qué problemas puede causar un troyano depende del tipo que sea, este en concreto (el trojan clicker) lo unico que haría es abrirte una ventanita popup con publicidad o con un poquito de pr0n..
castelló
Sigo con el bicho.... Aunque parece ser que solamente lo reconoce Kaspersky por lo que me han dicho amigos míos. ¿O sea que quizás sea un error del Kaspersky?...
castelló
Volví a contactar con mi hosting y me dicen ésto:
<em>La dirección IP que nos indica no se corresponde con ninguno de nuestros
servidores.
Si usted tiene cualquier consulta adicional no dude en ponerse en
contacto con nosotros.</em>
......