iFrames maliciosos en mi sitio - Me hackearon

[dariofin]

Hola amigos del foro, hoy les vengo a molestar para ver si alguien puede echarme una mano. Estoy con un problema grave en mi sitio, me ha entrado un virus aparentemente que ocasiona que genere un iFrame en el navegador cliente e intenta ejecutar applets.

También utilizo Acymailng para enviar newsletters, cuando genero una prueba antes de enviarlo, le hice un testeo anti spam y también me muestra un código que no soy capaz de rastrear y no sé como combatirlo.

La versión de joomla que utilizo es la 1.5.26, Acymailing versión enterprise comprada legítimamente y actualizada a la última versión estable.
Les paso el link para que vean el resultado que arroja la herramienta "SPAM TEST" de Acymailing, sobre el preview del newsletter a enviar::
Resultado de mailtester, herramienta de testeo de AcyMailing

La dirección de mi sitio es pasaportenews.com, algunas personas me han comentado que les ha aparecido una advertencia en sus navegadores al intentar entrar, así que cuidado!. Yo no he tenido problemas, pero ignoro si el sitio tiene una infección seria o algo más inofensivo, ante la duda sean precavidos.

Les pido si alguien me puede tirar una línea, algún dato, alguna idea, algo de lo que me pueda agarrar para investigar y que me ayude a encontrar una solución para limpiar el sitio , les agradezco de veras, sé que se han resuelto cosas peores con apoyo de la comunidad, espero que en ésta ocasión también se pueda resolver.

Gracias y cualquier dato relevante que de repente se me haya escapado, o algo más que necesiten, que pueda aportar yo, me lo hacen saber y lo haré enseguida.

Abrazo colegas!

[carcam]

¿Tienes insalado el editor de texto JCE? Si es así, comprueba que tu versión sea actual ya que las versiones anteriores a la 1.5 están afectadas por una vulnerabilidad que hace que tu sitio sea fácilmente hackeable.

[dariofin]

¿Tienes insalado el editor de texto JCE? Si es así, comprueba que tu versión sea actual ya que las versiones anteriores a la 1.5 están afectadas por una vulnerabilidad que hace que tu sitio sea fácilmente hackeable.

Hola carcam, gracias por tu pronta respuesta, te comento que sí, efectivamente tengo instalado el editor de textos JCE y no es la última versión, dado a que dicha versión no me funcionaba con la misma performance a la hora de subir fotos a la web.

De todas maneras, voy a instalarla y ver que pasa, mi pregunta sería la siguiente, solo actualizando la versión podré resolver el tema? o debo "limpiar" primero mi sitio de alguna manera que desconozco?

Gracias!!!

[carcam]

Hola dariofin,
la actualización de JCE hará que no vuelvan a hackearte, pero en cualquier caso tendrás que limpiar tu sitio del código malicioso, buscando entre tus ficheros y eliminando el código que esté causando el problema.

[dariofin]

Hola dariofin,
la actualización de JCE hará que no vuelvan a hackearte, pero en cualquier caso tendrás que limpiar tu sitio del código malicioso, buscando entre tus ficheros y eliminando el código que esté causando el problema.

Gracias carcam por tu respuesta, el único inconveniente que tengo es que no identifico exactamente que código malicioso tengo que buscar. Ya he buscado las líneas que genera el virus en la parte pública y en el newsleter dentro de TODOS los archivos, con un buscador específico que busca líneas de texto dentro de archivos, pero no he tenido suerte, no se bien que código buscar o como identificarlo.

Saludos.

[carcam]

Habitualmente los códigos maliciosos se "codifican" en base 64 por lo que puedes intentar buscar la función "base64_decode" de PHP ¡Pero cuidado! NO TODO FICHERO QUE TENGA ESTA FUNCIÓN HA SIDO [removed], ya que en muchos casos los desarrolladores la utilizan para codificar partes de sus componentes.

Una lista de pasos a seguir sería:
- Buscar algo que identifique el hack que has sufrido en Google a ver si te dan una pista del fichero infectado
- Si no encuentras nada, bájate una copia de todos los ficheros de tu sitio y por otro lado instala un Joomla! con los mismos componentes que tiene tu sitio (y obviamente las mismas versiones de todo) y haz una comparación de ficheros con un programa que compare diferencias. Esto posiblemente te ayude a encontrar más rápidamente el problema.

[dariofin]

Carcam, nuevamente gracias por tu respuesta y el interés demostrado. Te comento que ya me he bajado el sitio, es más, ya lo hago casi como hobbie , y la búsqueda de Base64 ya la realicé, me había pasado en otro sitio que tenía un "bicho" que utilizaba ésta codificación. Tienes razon que hay muchos ficheros del propio core de Joomla que también la utilizan, pero lo que hice fue, todos los base64 que encontraba, los copié y utilicé un decodificador online para ver de que se trataban, y ninguno de los que encontré generaba ningún codigo malicioso ni sospechoso.

Sobre buscar algo que identifique al Hack, justamente, es el problema que me llevó a postear aquí en el foro, que en Google no puede encontrar nada poniendo las líneas de texto de los iframe resultantes, nada que me pueda dar una pista e identificar el tipo de hackeo.

Sobre lo de comparar ficheros, no me parece mala opción, además cuento con algunos backups viejos que sé que estaban limpios, voy a probar, no se con qué software podría realizarlo, tu tienes alguna idea?

Gracias.

[carcam]

En windows puedes utilizar WinMerge y en Linux el genial Meld.

Ambos programas tienen la opción de comparar por carpeta de forma que le pasas las dos carpetas que quieres comparar y te las compara, comparando además los ficheros que contienen.

Esto te facilitará muchísimo el trabajo.

[dariofin]

En windows puedes utilizar WinMerge y en Linux el genial Meld.

Ambos programas tienen la opción de comparar por carpeta de forma que le pasas las dos carpetas que quieres comparar y te las compara, comparando además los ficheros que contienen.

Esto te facilitará muchísimo el trabajo.

Genial, GRACIAS carcam!, por los datos, voy a ver si me pongo las pilas y rastreo los archivos maliciosos.
Luego cuento si lo solucioné.

Saludos.