Desinfectando, Borrando o Limpiando Archivos de AdWare!

Pues, uno de mis clientes le hackearon su sitio web, de hecho no solo el sitio web, si no TODOS los sitios que tenia alojados en el servidor 馃檨

El script que colocaron, fue un AdWare, el cracker usaba su sitio web para realizar infinitas redirecciones hacia otros sitios mostrando publicidad de terceros. de esta manera el cracker estaba ganando una millonada con el servidor de mi cliente.

驴cual fue mi trabajo?, obviamente salvarlo de una cat谩strofe, tanto el servidor como las bases de datos, ya que el cracker tambi茅n incluyo un c贸digo maligno dentro de las bases de datos, algo como lo siguiente.

y

Voy hacer honesto con esto, aunque es normal ver este tipo de script en sitios que son infectados, mi primera impresi贸n fue: “que criminal c贸digo”.

El c贸digo esta en聽CharCode. El cual puedes decifrar (decodear o decodificar) si usas un servicio viejo como: http://jdstiles.com/java/cct.html, Es un tipo de cifrado eval javascript por as铆 decirlo.

En el caso de las bases de datos, para quitar el c贸digo lo 煤nico que se hace es descargar la base de datos, o tabla que este infectada con el c贸digo y editar con un software de edici贸n de texto, (recomiendo notepad++), Luego le dan a Buscar al c贸digo maligno y luego reemplazan todo el resultado por un “espacio” en blanco por ejemplo, y listo, guardan y subes nuevamente la base de datos.

Para el caso de los archivos infectados, he all铆 el problema. Ya que para lograr esto lo debes hacer v铆a SSH, y si tienes una cuenta de cpanel o de revendedor, es probable que esto no sea para ti, en este caso te recomiendo solicitar soporte de segundo o tercer nivel a tu Centro de Datos o proveedor de Hosting.

Ahora vamos al c贸digo maligno en los archivos, para esto he encontrado que todos los archivos estaban infectados con este c贸digo:

Esto se ejecutaba el sitio via http, esto lo encontre dentro de los “javascript” (*.js) del sitio.

Asi que lo primero es Buscar con el comando,聽grep,聽

Mi primera consulta fue algo como:

Para explicar el codigo, el comando,聽Al indicar -ri donde con el argumento “r” conseguimos que la b煤squeda se realice dentro de todos los ficheros existentes en el propio directorio y en todos los subdirectorios internos, y el argumento “i” ignora todas las mayusculas/min煤sculas.

Obvio que obtuve un mont贸n de resultados.. Pero un servidor infectado completamente es un poco tedioso de limpiar, sobretodo cuando todos los archivos est谩n infectados, (OJO, antes todo el proceso de limpieza ya hab铆a securizado el servidor, osea borrado los accesos por donde el cracker accedi贸).

Mi pregunta era 驴de que forma iba a solucionar limpiar todos estos archivos? No iba a pasar mi vida limpiando archivo por archivo, para esto he conseguido formular mi propio script con el comando .find y sed quieres me hicieron la vida facil.

Mi peque帽o script fue el siguiente.

Para explicar esto, Cambiamos el texto AdWare por un espacio, en todos los ficheros *.js (solo javascript pero puedes colocar solo “*”) a partir de la ruta ./ (root) de forma recursiva.

Puedes simplificar esto solo a que se busque el c贸digo maligno en tu carpeta www, html o vhosts tambi茅n cambiando el / por * posicionado en la carpeta que va a buscar el c贸digo.

En mi caso quedo de esta forma:

De esta forma, eliminaras el c贸digo maligno de todos tus archivos.

Esta es la forma mas f谩cil y sencilla para lograr limpiar tus archivos de alg煤n c贸digo malicioso que haya afectado tu servidor / sitio web.

 

Espero que te haya gustado,

Feliz d铆a para limpiar tu servidor 馃檪