ataque blackhole exploit kit type 2704

[coturcosales]

URL: http://www.caypa.com.ar
Versión phpBB: 0.11
MODs Instalados: Advertisement Management
y alguno mas que no recuerdo
Plantilla(s) usada(s): Prosilver
Servidor: pago
Actualización desde otra versión: No
Conversión desde otro sistema de foros: No
URL del MOD:: https://www.phpbb.com/customise/db/down ... c66fd06762

hola simplemente me esta pasando algo que ya me paso con un oscommerce y nunca pude resolverlo tube que instalar todo de nuevo y no quiero hacerlo.
al abrir el foro el antivirus avg me lanza el mensaje ataque blackhole exploit kit type 2704
revise los index y no encuentro nada raro , busque iframes con un programita y no hay nada.
como puedo detectar y saber donde esta ??
o simplemete tengo que reinstalar todo ??

[ThE KuKa]

Si, me salta el ESET avisando de un troyano. es complicado saber exactamente a que se debe, seria mirar exactamente que hay en el servidor, y por supuesto también en tu PC.

Hace una semana o cosa así, hubo una "intervención" parecida a este problema en phpBBMODs.Es un foro con problemas y errores, después de mirar algunos de esos archivos que daban errores, vi un código "raro y extraño" que no debía estar, y desde ahí se averiguo que era un troyano.

Es cuestión de paciencia, y "comparar" archivos.

[micontre]

lo unico extraño que veo en tu codigo fuente es esta parte

Código: Seleccionar todo

" href="file:///F|/Ps2archivos/Ps2Dvd/public_html/styles/prosilver....................

esa direccion lo tienes en casi todas los enlaces de header.

[coturcosales]

si estoy mirando esas direciones son de un sitio viejo que estaba infectado , era un oscomerse no entiendo como furon a parar ahi.
voy a tratar de borrar los codiçgos que no tienen nada ue ver a ver si puedo hacerlo sin descontrolar el sitio.
tengo un backup de todo pero tambien tiene eso se ve que se infecto rapidamente y recien salta ahora.

[coturcosales]

Bueno a ver si me dan un ayuda o bien voy a ver como reinstalo todo.
elimino los codigos , subo el archivo limpio pero automaticamente se me inserta este codigo ahora.
../../../../../public_html/styles/prosilver/template/

que por lo que veo no es normal , algo esta genrando el codigo.

que hago ? si reinstalo todo como hago para no perder todo loque tenmgo dentro del foro.

[micontre]

mira el overall_header.htlm que en header tengan los codigos correctos.
compara con un archivo limpio

mientras el config.cfg esta correcto no perderas nada ya que todo esta en la base de datos

[coturcosales]

Estoy tratando de salvarlo porque no piedordo los datos , pero pierdo las configuraciones y los mods supongo que eso tendria que instalarlo todo nuevamente.

Ahi limpie todo lo que me señalaste , vos que veo sabes mas que yo podes mirar un poco a ver si ahora esta bien.

Logre quitar esos codigos , limpie caches pero aun asi me tira esa alerta .

te comento algo , me tira la alerta elimina la amenaza y despues no em la tira mas . tengo que reiniciar el router para ver si me la vuelve a tirar.

muchas gracias por la ayuda y perdon por las molestias.

[micontre]

lo primero que tienes que hacer es mirar en tu ordenador ya que si no es la primera vez que te pasa en que lo tendrás infectado.
mira este video (esta en ingles pero se entiende bien los pasos.
[BBvideo 425,350]http://www.youtube.com/watch?v=YAesD1TEfk0[/BBvideo]

[coturcosales]

sisi cuando tenga tiempo voy a analizar con todos los antivirus que tengo . esta noche si puedo.
ahora pase la web por varios antivirus y todos dicen que esta limpia , vamos a ver que pasa.
tal vez era solo esos codigos.