Infecciones de virus y .htaccess
196 views
Skip to first unread message
Noel Vargas
Jan 21, 2009, 1:37:46 PM1/21/09
to Seguridad Software Libre Nicaragua
Ayer encontramos en uno de nuestros sitios web un archivo .htaccess
malicioso, el cual redirige el tráfico entrante de cualquier buscador
hacia un pop-up diciéndole que está infectado (Una más del taller
Windows).
Investigando, esto es resultado del ya famoso "Antivirus 2009", el
cual busca en la PC Windows infectada los usuarios y contraseñas para
los sitios FTP y coloca el archivo infectado.
El asunto entonces es... cómo defender tu .htaccess? Alguien más se
ha encontrado con este problema?
Por lo pronto probaremos crear un .htaccess y jugar con el permiso de
escritura y borrado, a ver si el virus aún no es tan "inteligente"
como para cambiarlo antes.
De todas maneras, más adelante les cuento si funcionó o no. También
estamos monitoreando los logs de FTP al servidor, para ver desde dónde
se está originando el upload.
Les dejo el tip en caso que presenten el mismo problema.
malicioso, el cual redirige el tráfico entrante de cualquier buscador
hacia un pop-up diciéndole que está infectado (Una más del taller
Windows).
Investigando, esto es resultado del ya famoso "Antivirus 2009", el
cual busca en la PC Windows infectada los usuarios y contraseñas para
los sitios FTP y coloca el archivo infectado.
El asunto entonces es... cómo defender tu .htaccess? Alguien más se
ha encontrado con este problema?
Por lo pronto probaremos crear un .htaccess y jugar con el permiso de
escritura y borrado, a ver si el virus aún no es tan "inteligente"
como para cambiarlo antes.
De todas maneras, más adelante les cuento si funcionó o no. También
estamos monitoreando los logs de FTP al servidor, para ver desde dónde
se está originando el upload.
Les dejo el tip en caso que presenten el mismo problema.
Joaz Rivera
Jan 21, 2009, 2:03:34 PM1/21/09
to seguridad-softwar...@googlegroups.com
Escuche de ese problema pero me parecía una teoría aun...
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 21 de Enero de 2009 12:38 p.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Infecciones de virus y .htaccess
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 21 de Enero de 2009 12:38 p.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Infecciones de virus y .htaccess
Noel Vargas
Jan 21, 2009, 2:49:04 PM1/21/09
to Seguridad Software Libre Nicaragua
Es el problema con la seguridad... todo el mundo cree que son cuentos
de camino, "eso a mí no me ha pasado" o "no conozco a quien le haya
pasado" ;)
de camino, "eso a mí no me ha pasado" o "no conozco a quien le haya
pasado" ;)
Joaz Rivera
Jan 21, 2009, 3:02:43 PM1/21/09
to seguridad-softwar...@googlegroups.com
Y como vas con el problema? Cambiastes los permisos al htaccess? Sabes como
se llama en exactitud el virus?
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 21 de Enero de 2009 01:49 p.m.
se llama en exactitud el virus?
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Re: Infecciones de virus y .htaccess
Noel Vargas
Jan 21, 2009, 3:23:21 PM1/21/09
to Seguridad Software Libre Nicaragua
Aquí la descripción de Sophos y otros del "Antivirus 2009":
http://www.sophos.com/security/blog/2009/01/2608.html
http://blog.javacoolsoftware.com/2008/12/anti-virus-2009-search-engine-redirect-hacks/
http://blog.unmaskparasites.com/2008/12/05/bogus-antivirus-2009-htaccess-exploit/
Ahora, ya peinamos las computadoras con acceso al sitio usando GMER
[1], Spybot Search & Destroy[2] y NOD32, y no detecta rootkits, virus,
o procesos ocultos.
Estamos comenzando a sospechar que más bien nuestro proveedor fue
atacado exitosamente, porque tampoco la info del virus indica que
recorra otros directorios (además que un usuario no debería poder
escribir en el directorio de otro, a menos que sea una cuenta de
administración!), lo cual habla muy mal de sus políticas.
Ojo: Con el IE actualizado, o con Firefox + NoScript, el sitio
infectado no tiene efecto porque no logra redirigirte. Lo detectamos
gracias a un usuario que, para variar, jamás actualiza su Güindous.
[1]www.gmer.net/index.php
[2]www.safer-networking.org
[3]https://addons.mozilla.org/es-ES/firefox/addon/722
http://www.sophos.com/security/blog/2009/01/2608.html
http://blog.javacoolsoftware.com/2008/12/anti-virus-2009-search-engine-redirect-hacks/
http://blog.unmaskparasites.com/2008/12/05/bogus-antivirus-2009-htaccess-exploit/
Ahora, ya peinamos las computadoras con acceso al sitio usando GMER
[1], Spybot Search & Destroy[2] y NOD32, y no detecta rootkits, virus,
o procesos ocultos.
Estamos comenzando a sospechar que más bien nuestro proveedor fue
atacado exitosamente, porque tampoco la info del virus indica que
recorra otros directorios (además que un usuario no debería poder
escribir en el directorio de otro, a menos que sea una cuenta de
administración!), lo cual habla muy mal de sus políticas.
Ojo: Con el IE actualizado, o con Firefox + NoScript, el sitio
infectado no tiene efecto porque no logra redirigirte. Lo detectamos
gracias a un usuario que, para variar, jamás actualiza su Güindous.
[1]www.gmer.net/index.php
[2]www.safer-networking.org
[3]https://addons.mozilla.org/es-ES/firefox/addon/722
Reply all
Reply to author
Forward
0 new messages