Algo raro se me metio en mi sitio, alguien sabe por que?

[diegobussi]

Hola, tengo una pagina web, es www.riocuartorock.com.ar y  hoy a la tarde me llego este mail:

De nuestra consideraci?n:
RSA, una empresa anti-fraude y de seguridad, ha celebrado un contrato para asistir a Royal Bank of Canada y a sus entidades relacionadas ("RBC") - un banco canadiense l?der - en la prevenci?n o finalizaci?n de las actividades online que tienen como objetivo a los clientes de RBC como potenciales v?ctimas de un fraude.
RSA ha sido informada de que al parecer ustedes est?n brindando Servicios de Internet a un sitio web fraudulento como parte de una "estafa de phishing"**. Esta actividad viola los derechos de autor, marcas registradas y otros derechos de propiedad intelectual y puede infringir las leyes penales de Canad?, Estados Unidos y de otras naciones.
Un individuo o una empresa que finge ser RBC ha enviado emails en forma masiva a otras personas. Estos emails utilizan el nombre y la identidad (incluyendo las marcas registradas) de RBC sin autorizaci?n. En esos mensajes se solicita a quienes los reciben que verifiquen y entreguen informaci?n confidencial relacionada con sus cuentas en RBC.
En los emails fraudulentos hay un v?nculo que lleva a los usuarios a un sitio web falso en el que se exhiben materiales de RBC que est?n protegidos por el derecho de autor as? como tambi?n marcas registradas. El sitio web fraudulento se encuentra en la siguiente direcci?n URL  http://www.riocuartorock.com.ar/arbc/www1.royalbank.com/online-security/rbunxcgi.php que est? bajo el control de su compa??a y a la cual ustedes proveen servicios.

Al principio pense que era solo un spam cualquiera, pense que no podia ser ese enlace, es mi pagina y se que pongo y que no... Pero igual copie la direccion y la pegue en FF. Me abrio efectivamente la pagina, cosa que me llamo poderosamente la atencion.... Entre por FTP y borre la carpeta y todo su contenido, les dejo una captura de lo que me puso el FF



Ahora pregunto: ¿A Alguno le paso algo parecido? ¿Fui victima de un hacker o algo por el estilo o los gauchitos que me hostean me lo pudieron hacer? ¿Como evito que me vuelva a pasar algo asi?

Busque en la web y encontre esto, son las consecuencias de lo que provoca ingresar a estos sitios:

>      INFORMACION
   Troyano que se instala como un BHO (Browser Helper Object) en el Internet Explorer. Cuando un formulario de algún banco en línea es enviado el caballo de troya roba información.

>     CARACTERISTICAS
   

Cuando se ejecuta el troyano crea un archivo ".DLL" dentro de la carpeta C:\WINDOWS\SYSTEM. El nombre del archivo es al azar, utiliza 8 caracteres en minúscula y su tamaño es de 45056

Ejemplo: bgstjygf.dll

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

El archivo es instalado como un Browser Helper Object, esto le permite cargarse cada vez que el Explorer sea iniciado, para ello crea las siguientes claves en el registro de Windows:

  HKLM\Software\Classes\CLSID\[Valor CLSID aleatorio]

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Explorer
  \Browser Helper Objects\[Valor CLSID aleatorio]

En la siguiente clave del registro cambia el valor existente por el camino del troyano:

  HKLME\Software\Classes\CLSID
  \[Valor CLSID aleatorio]\InProcServer32.
  (Predeterminado) =
  C:\Windows\System\[Nombre del archivo].dll

El troyano monitorea conexiones salientes a los siguientes sitios HTTPS:

  .anz.com
  .bendigobank.com.au
  .citibank.com
  .citibank.de
  .commbank.com.au
  .dab-bank.com
  .deutsche-bank.de
  .e-gold.com
  .hsbc.com.au
  .hsbc.com.hk
  .online-banking.standardchartered.com.hk
  .sparkasse-banking.de
  .stgeorge.com.au
  banking.lbbw.de
  banking.mashreqbank.com
  banknetpower.net
  barclays.co.uk
  cd.citibank.co.ae
  cibconline.cibc.com
  citibank.com.au
  dit-online.de
  easyweb.tdcanadatrust.com
  ebank.uae.hsbc.com
  ekocbank.kocbank.com.tr
  hercules.pamukbank.com.tr
  internetsube.akbank.com.tr
  lloydstsb.co.uk
  national.com.au
  nbd.ae
  online.nbad.com
  online-banking.standardchartered.ae
  pbg1.edc.citiaccess.com
  standardchartered.com
  suncorpmetway.com.au
  westpac.com.au
  www.alahlionline.com
  www.almubasher.com.sa
  www.arabi-online.com
  www.cbdonline.ae
  www.citibank.com.hk
  www.dahsing.com
  www.ebank.iba.com.hk
  www.privatebank.citibank.com.sg
  www.sabbnet.com
  www.samba.com
  www.scotiaonline.scotiabank.com
  www.unb.com
  www1.bmo.com
  www1.royalbank.com

Cuando el Internet Explore realiza un petición (HTTP POST) a alguno de los dominios antes mencionados, el troyano envía infamación a un script CGI que se encuentra en el siguiente sitio:

  www.refestltd.com

Este troyano afecta los sistemas operativos:

  Windows 2000
  Windows 64-bit (AMD64)
  Windows 64-bit (IA64)
  Windows 95, Windows 98
  Windows Me, Windows NT
  Windows Server 2003, Windows XP



>     INSTRUCCIONES PARA ELIMINARLO
   

1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus, tome nota de la ubicación y nombre de los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT, pulse Enter para acceder al Registro del sistema.

4. Busque la siguiente clave del registro:

  HKLM\Software\Classes\CLSID

5. En el editor del registro pinche en "Edición", "Buscar" y escriba el nombre del archivo anotado en el paso 2.

6. Tome nota de la clave del registro encontrada.

7. Borre la clave.

8. Busque y elimine en la siguiente clave del registro, todas la(s) entrada(s) que contengan los valores anotados en el paso 6:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Explorer
  \Browser Helper Objects

9. Cierre el editor del Registro del sistema

10. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Esto es lo que pasa despues de que se instala en la PC, pero lo que no se es como se metio en mi pagina, como entro en mi sitio, si tengo alguna falla de seguridad que desconozco... si alguien sabe, muy agradecido...

No se si es la seccion correcta para poner esto, pero quiero saber que fue lo que me paso...

Gracias Argentos, cualquier cosa si me quieren extraditar a USA les aviso 

Saludos 

[Predicador]

Hola, lo mas probable es que hayan usando algun exploit de Joomla para subir su pagina de con el fin de engañar a los socios de ese banco. Es una tactica comun de los scammers, buscan alguna pagina con una CMS vunerable o desactualizado, luego con un exploit se hacen de poder para subir cosas y montan su propio sitio falso en tu hosting.

Recomendacion: cambia el password de tu hosting, actualiza Joomla a la ultima version (mas que actalizar, es recomendable que lo borres por completo (ya que nunca sabes si dejaron una puerta trasera instalada) e instales la ultima version, luego hacerle updates constantemente) y cmabiar tambien el password de la base de datos.
Baii

[diegobussi]

Gracias Predicador, ahora veo de poner la ultima version de Joomla, hace re poquito la instale y ya se me metieron...

Gracias por la respuesta, si me siguen los problemas les aviso