Deteccion de malware por Google

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Estimados,

En el servidor de un cliente ( hosting godaddy ), Google encontró malware en uno de los sitios. Aparece el aviso de sitio infectado, cada vez que uno quiere ingresar.

Efectivamente era un sitio wordpress infectado, por lo que la carpeta fue eliminada por mi cliente, y un archivo htaccess en la raiz del sitio fue eliminado por mi.

El problema, es que me asegure por FTP y cpanel que ambos archivos fueron eliminados, envié la solicitud a Google para eliminar la advertencia, usando el panel de herramientas para webmasters de Google. Ahora, Google respondió diciendo que las amenazas siguen presentes, incluso detecta malware hace dos días, en una carpeta que fue eliminada hace dos semanas, y que no veo por FTP ni Cpanel.

Hay alguna manera que una infección haga que las carpetas se "escondan" del FTP o del Cpanel? o es Google que esta viendo el sitio en algún cache, o tal vez al que tienen revisando le da flojera revisar denuevo...


Saludos!!
 
Última modificación:

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.602
Ese proceso es automático, no hay alguien revisando.

Te recomiendo un par de cosas:

0- Antes de ponerte a borrar, respalda el sitio.
1- Cámbiate de hosting, una vez entrado un malware, no sabes dónde se puede esconder lo demás. Tb podrían haber backdoors (no necesariamente tuyos, sino de otro sitio en la misma máquina) así que nunca más va a estar seguro mientras esté en el mismo hosting.
2- Mueve todo tu código a Git para que de esa forma puedas volver siempre a una versión buena (o revisar con git fsck si fuese realmente necesario).
3- Cambia todas las contraseñas.
4- Revisa los permisos, sólo deberías dejar con 777 la carpeta uploads, lo demás todo con lectura para el servidor web.
5- Revisa tb footer.php, header.php y en general todos los plugins que tengas instalado.
6- Revisa si existe alguna diferencia con una instalación limpia de WP.
7- Revisa si existe alguna diferencia con una instalación limpia de cada uno de los plugins que ocupes.
8- Revisa archivo por archivo la carpeta uploads. Ojo que una simple imagen tb puede esconder código (mediante EXIF por ejemplo).
9- Revisa los logs para ver qué hicieron y por dónde entraron.

Eso se me ocurre ahora en el momento. 99% de estos problemas los podrías solucionar metiendo tu código en Git (o SVN, Mercurial o cualquier otro).

Saludos.
 
Upvote 0

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Ese proceso es automático, no hay alguien revisando.

Te recomiendo un par de cosas:

0- Antes de ponerte a borrar, respalda el sitio.
1- Cámbiate de hosting, una vez entrado un malware, no sabes dónde se puede esconder lo demás. Tb podrían haber backdoors (no necesariamente tuyos, sino de otro sitio en la misma máquina) así que nunca más va a estar seguro mientras esté en el mismo hosting.
2- Mueve todo tu código a Git para que de esa forma puedas volver siempre a una versión buena (o revisar con git fsck si fuese realmente necesario).
3- Cambia todas las contraseñas.
4- Revisa los permisos, sólo deberías dejar con 777 la carpeta uploads, lo demás todo con lectura para el servidor web.
5- Revisa tb footer.php, header.php y en general todos los plugins que tengas instalado.
6- Revisa si existe alguna diferencia con una instalación limpia de WP.
7- Revisa si existe alguna diferencia con una instalación limpia de cada uno de los plugins que ocupes.
8- Revisa archivo por archivo la carpeta uploads. Ojo que una simple imagen tb puede esconder código (mediante EXIF por ejemplo).
9- Revisa los logs para ver qué hicieron y por dónde entraron.

Eso se me ocurre ahora en el momento. 99% de estos problemas los podrías solucionar metiendo tu código en Git (o SVN, Mercurial o cualquier otro).

Saludos.

Vale, hasta ahora no he trabajado con git. Siempre mantenía respaldos en mi pc.

El resto de los puntos están todos OK.

En ese hosting hay varios sitios, que están divididos en carpeta, con dominios parqueados.

Solo una carpeta reclama, que fue borrada por el cliente hace dos semanas app. pero Google sigue reclamando por esa carpeta.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.602
En ese caso, lo único que podrías hacer es revisar con rsync a ver qué cambios todavía persisten, pero control de versiones lo recomiendo a ojos cerrados, solucionas un montón de cachos.

Tb puede ser que Google simplemente no revisa, si estás en el Google Hell te será muy difícil salir de ella.

Saludos.
 
Upvote 0

man0l0

Capo
Se incorporó
7 Julio 2006
Mensajes
454
Hola, sólo agregar que los que explotan vulnerabilidades de wordpress generalmente crean carpetas ocultas (las que parten con .) o difíciles de "interpretar"; en alguna ocasión me tocó que la carpeta generada tenía tantos caracteres extraños que hasta el administrador de archivos de cpanel se mareaba y no la abría.

Ojo también con lo siguiente:
- Puede parecer obvio, pero por si las moscas: la vista "por defecto" del administrador de archivos de cpanel no muestra los archivos ocultos (hay que marcar antes una casilla en el popup que aparece antes de lanzarlo).
- Los clientes de FTP en muchas ocasiones tampoco muestran los archivos ocultos por defecto, verifica también eso.

WMT de google te entrega también la URL del malware, si la copias y la pegas, y no te sale un error 404, quiere decir que aún está ahí.

El consejo, mantener siempre actualizado, porque los informes de vulnerabilidades, son explotados de inmediato por multitudes de personas, con fines de "hola soy hacker", u otros más oscuros como subir malwares, backdoors o sitios clonados de phishing al sitio web.

Saludos!
 
Upvote 0
Subir