Reporte de virus en la carpeta caché

mtp · syyskuu 01, 2012, 09:09:24 AP

Hola amigos, uso smf 2.0.2 y despues de varios ataques masivos de users robots de spam, y ser controlados con algunos mods, el servidor me avisa de ataques masivos desde esta carpeta, la cual me han borrado, y yo al volverla a crear les llegan muchos avisos de scripts maliciosos en esta carpeta... con lo que vuelvo a estar sin esta carpeta...

¿¿¿en que me puede repercutir no tener esta carpeta caché??
¿¿de donde provienen estos scripts,???
¿¿¿como puedo desinfectar mi foro??

Espero vuestra ayuda, muchas gracias.

^HeRaCLeS^ · syyskuu 01, 2012, 09:43:41 AP

La carpeta se va a crear tantas veces como sea borrada, ya que tenes activa la opcion de cache en tu sitio.
Pero en verdad los codigos maliciosos no estan en esa carpeta, sino que estan en tus archivos.

Desde la configuracion de tu sitio podes desactivar el uso de la cache, pero repito, el problema no esta en la carpeta cache, sino en algun archivo en tu sitio.

Como desinfectar tu foro? Pues buscando en los archivos de tu foro y fijandote de algun codigo extraño en el. Generalmente estos codigos los ponen en los archivos index.php o index.html de los sitios, por lo que yo empezaria revisando todos y cada uno de los archivos index de tu sitio.

mtp · syyskuu 01, 2012, 10:10:30 AP

Gracias amigo, me imaginaba algo así, pero me va a ser muy dificil encontrar esos codigos, ya que de php apenas se nada, y no voy a saber diferenciar esos codigos...
Estoy muy perdido...
Hay algun programa que me lo detecte??? o me de pistas de su procedencia para centrame en su busqueda?

muchas gracias

^HeRaCLeS^ · syyskuu 01, 2012, 12:55:02 IP

url de tu sitio?

mtp · syyskuu 01, 2012, 07:46:41 IP

www.riftmaniacos.net/foros [nofollow]

^HeRaCLeS^ · syyskuu 01, 2012, 09:00:37 IP

Revise tu sitio con varios antivirus y ninguno detecto nada.

Podrias ponerte en contacto con tu hosting para ver si ellos te pueden informar exactamente en que archivo de la carpeta cache les marca el virus..
Asi tendriamos algo por donde mirar.

Pero repito, analice tu sitio con varios antivirus y ninguno detecto nada

mtp · syyskuu 03, 2012, 10:39:19 AP

Hola , pues haré eso voy a ponerme en contacto con el servidor y que miren ellos, y que me saquen anotaciones de esos errores o scripts maliciosos a ver de donde provienen..
Ya pongo aqui los resultados y me dices o me dicen ...
Muchas gracias

mtp · syyskuu 12, 2012, 03:29:22 AP

Bueno amigos sigo con esto...
Dejo aquí la contestación del servidor.

En el primer ticket de esta incidencia verás los archivos sospechosos que encontramos y que adjuntamos de nuevo: # Regular expression match = [\n(?!\s*(\/\/|\#|\*)).*/etc/passwd]: '/home/riftsnet/public_html/foros/cache/data_e5eaa4adde61989a199e97769f9d3f f4-SMF-modSettings.php' # Regular expression match = [\n(?!\s*(\/\/|\#|\*)).*\.bash_history]: '/home/riftsnet/public_html/foros/cache/data_e5eaa4adde61989a199e97769f9d3f f4-SMF-modSettings.php' # Regular expression match = [r57shell]: '/home/riftsnet/public_html/foros/cache/data_e5eaa4adde61989a199e97769f9d3f f4-SMF-modSettings.php' # Regular expression match = [c99shell]: '/home/riftsnet/public_html/foros/cache/data_e5eaa4adde61989a199e97769f9d3f f4-SMF-modSettings.php' # Regular expression match = [r57shell]: '/home/riftsnet/public_html/foros/cache/data_e5eaa4adde61989a199e97769f9d3f f4-SMF-modSettings.php'

^HeRaCLeS^ · syyskuu 12, 2012, 03:53:45 AP

Por lo que interpreto el codigo estaria en tu base de datos, ya que hace mencion a modsetting.

Como te dije antes, podrias desactivar la cache para que no siga generando esos archivos.
Y si queres pasame los datos de acceso al cpanel por mp y reviso tu base de datos.

Simple Machines Community Forum

Uutiset:

Reporte de virus en la carpeta caché

mtp

^HeRaCLeS^

mtp

^HeRaCLeS^

mtp

^HeRaCLeS^

mtp

mtp

^HeRaCLeS^