Mathom Posted March 21, 2017 Share Posted March 21, 2017 Hola a todos, me temo que tengo un gran problema y es que creo ver mediante ftp un montón de archivos, tanto en raíz como en modules, que tienen toda la pinta de malware. Hay algún módulo, aplicación, etc., a ser posible gratuito, mediante el cual pueda hacerle una buena limpieza?? Como comprenderéis urge un poco porque me temo que en cualquier momento puedo tener problemas serios, si sois tan amables de guiarme un poco. Gracias de antemano. Link to comment Share on other sites More sharing options...
Sergio Ruiz Posted March 21, 2017 Share Posted March 21, 2017 Hola a todos, me temo que tengo un gran problema y es que creo ver mediante ftp un montón de archivos, tanto en raíz como en modules, que tienen toda la pinta de malware. Hay algún módulo, aplicación, etc., a ser posible gratuito, mediante el cual pueda hacerle una buena limpieza?? Como comprenderéis urge un poco porque me temo que en cualquier momento puedo tener problemas serios, si sois tan amables de guiarme un poco. Gracias de antemano. ¿Pero que extension tienen los ficheros? ¿Seguro que son malware? Manda una captura (aunque sea recortada) que veamos... Link to comment Share on other sites More sharing options...
Mathom Posted March 21, 2017 Author Share Posted March 21, 2017 (edited) Ante todo gracias. Te adjunto 2 imágenes, una de la raíz y otra de la carpeta modules. Cómo puedo insertar las imágenes que no me lo está permitiendo? Edited March 21, 2017 by Mathom (see edit history) Link to comment Share on other sites More sharing options...
Mathom Posted March 21, 2017 Author Share Posted March 21, 2017 (edited) Adjunto imágenes. Edited March 21, 2017 by Mathom (see edit history) Link to comment Share on other sites More sharing options...
jesusruiz Posted March 21, 2017 Share Posted March 21, 2017 (edited) Ese archivo exploit.c, suena muy mal, y desde luego tiene varios archivos y carpetas que no pertenecen a PrestaShop. La carpeta trJcBL también suena a Troyano. De hecho, si busca "trojan cbl" en Google encontrará referencias sobre ello. ¿Tiene módulos de terceros instalados concientemente?. Es decir que usted mismo haya instalados. Debería subir algunos de los archivos que considere sospechosos a https://www.virustotal.com/es/ para analizarlos. A partir de ahí, también debería ponerse en contacto con su proveedor de hosting para que revisen el log del servidor y puedan ofrecerle información sobre la amenaza. Probablemente, el archivo .htaccess haya sido también modificado. Un saludo. Edited March 21, 2017 by jesusruiz (see edit history) Link to comment Share on other sites More sharing options...
jesusruiz Posted March 21, 2017 Share Posted March 21, 2017 (edited) Se me olvidó comentar, pruebe también a enviar la URL de su web, para analizarla en los siguientes enlaces: https://sitecheck.sucuri.net/ https://aw-snap.info/file-viewer/ Edited March 21, 2017 by jesusruiz (see edit history) Link to comment Share on other sites More sharing options...
Mathom Posted March 22, 2017 Author Share Posted March 22, 2017 ¿Tiene módulos de terceros instalados concientemente?. Es decir que usted mismo haya instalado? Buenos díass, pues seguramente pues hace poco qeeu la llevamos nosotros y he eliminado alguno ya. Probablemente, el archivo .htaccess haya sido también modificado. Veo que hay varios .htaccess a cual re refieres?? al de la raíz o al que hay en la carpeta www? Voy a probar a analizar en las URL que me has pasado y voy comentando. Muchas gracias Jesús. Link to comment Share on other sites More sharing options...
jesusruiz Posted March 22, 2017 Share Posted March 22, 2017 (edited) Sí, ya he visto que hay varios .htaccess, de hecho hay alguno que no tiene ni el punto delante. Debería comprobar primero el de la carpeta raíz. De todas formas, lo mejor es que se ponga en contacto con el soporte de su hosting, porque ellos son los que con el log del servidor, van a poder solucionarle el problema. Seguramente algún módulo de terceros, que está utilizando tenga un fallo de seguridad. También debería comprobar que el tema/plantilla que está utilizando en la web esté actualizado a la última versión disponible. Un saludo. Edited March 22, 2017 by jesusruiz (see edit history) Link to comment Share on other sites More sharing options...
Mathom Posted March 22, 2017 Author Share Posted March 22, 2017 (edited) Bien, no sé ni por dónde empezar. Voy a hacer lo siguiente, corregidme, por favor, si no voy bien. Ante de nada decir que creo que las 2 aplicaciones me han dado el mismo resultado. Les adjunto pantallas. Por lo que voy a contactar con el servidor a ver si me lo pueden solucionar. Voy a restaurar una copia de hace unos días a ver porque veo muchas carpetas que no me suenan de antes. Con esto también restauro .htacces? Sólo debería haber uno? He visto que dentro de algunas carpetas tambie´n los hay. En otro post he puesto un problema que tenía con Google en el sentido de que cuando pongo el nombre de la web, la búsqueda aparece bien pero la primera línea me aparece en Japonés. estará relacionado con esto? Pensaba ponerme en contacto con Google a ver que me dices. Tengo pánico de sufrir una bajada importante de visitas y perder posicionamiento. Edited March 22, 2017 by Mathom (see edit history) Link to comment Share on other sites More sharing options...
Mathom Posted March 22, 2017 Author Share Posted March 22, 2017 Lo olvidé, muchas gracias a los 2 !! Link to comment Share on other sites More sharing options...
jesusruiz Posted March 22, 2017 Share Posted March 22, 2017 (edited) Al restaurar una copia de seguridad que tenga antes de que se hay producido la inyección de código, encontrará que probablemente todo esté bien a nivel de archivos internos (no así los resultados de búsqueda en Google), pero la brecha de seguridad estará todavía presente, por lo que es altamente probable que vuelva a tener el mismo problema en poco tiempo. Por eso es importante que los responsables del hosting donde tiene alojada la web revisen el log del servidor, para que puedan detectar el problema, eliminar el exploit y saber cúal ha sido la causa para que no vuelva a producirse. En cuanto a Google, no va a poder contar con ellos y mucho menos para ese tipo de problemas y cuestiones. Es posible que Google penalice la web, pero no me resultaría extraño que no lo hicieran, ya que ni siquiera han retirado su web de los resultados de búsqueda y no la han catalogado de atacante, dañina, ni comprometida (algo bastante extraño). En cuanto solucione el problema, los robots de Google deberían de pasar por su web y actualizar los datos. Si quisiera adelantar el proceso de verificación, siga las siguientes instrucciones: https://www.google.com/webmasters/hacked/?hl=es Un saludo. Edited March 22, 2017 by jesusruiz (see edit history) Link to comment Share on other sites More sharing options...
Mathom Posted March 22, 2017 Author Share Posted March 22, 2017 (edited) Muchas gracias Jesús, ahora he podido encontrar de donde salen las letras ne japonés mediante el Google Search Console, ahora estoy intentando encontrar que archivo contiene esa ruta para eliminarlo. De momento no lo encuentro mediante labusqueda del Sublimetext. Voy a seguir probando. Eso no quita que siga con todo lo que hemos hablado. Te iré diciendo y comentando cuando lo solucione. Muchísimas gracias. Edited March 22, 2017 by Mathom (see edit history) Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now