Hola, tengo una pagina web, es www.riocuartorock.com.ar y hoy a la tarde me llego este mail:
CitarDe nuestra consideraci?n:
RSA, una empresa anti-fraude y de seguridad, ha celebrado un contrato para asistir a Royal Bank of Canada y a sus entidades relacionadas ("RBC") - un banco canadiense l?der - en la prevenci?n o finalizaci?n de las actividades online que tienen como objetivo a los clientes de RBC como potenciales v?ctimas de un fraude.
RSA ha sido informada de que al parecer ustedes est?n brindando Servicios de Internet a un sitio web fraudulento como parte de una "estafa de phishing"**. Esta actividad viola los derechos de autor, marcas registradas y otros derechos de propiedad intelectual y puede infringir las leyes penales de Canad?, Estados Unidos y de otras naciones.
Un individuo o una empresa que finge ser RBC ha enviado emails en forma masiva a otras personas. Estos emails utilizan el nombre y la identidad (incluyendo las marcas registradas) de RBC sin autorizaci?n. En esos mensajes se solicita a quienes los reciben que verifiquen y entreguen informaci?n confidencial relacionada con sus cuentas en RBC.
En los emails fraudulentos hay un v?nculo que lleva a los usuarios a un sitio web falso en el que se exhiben materiales de RBC que est?n protegidos por el derecho de autor as? como tambi?n marcas registradas. El sitio web fraudulento se encuentra en la siguiente direcci?n URL http://www.riocuartorock.com.ar/arbc/www1.royalbank.com/online-security/rbunxcgi.php que est? bajo el control de su compa??a y a la cual ustedes proveen servicios.
Al principio pense que era solo un spam cualquiera, pense que no podia ser ese enlace, es mi pagina y se que pongo y que no... Pero igual copie la direccion y la pegue en FF. Me abrio efectivamente la pagina, cosa que me llamo poderosamente la atencion.... Entre por FTP y borre la carpeta y todo su contenido, les dejo una captura de lo que me puso el FF
(http://img211.imageshack.us/img211/4962/capturavi7.th.jpg) (http://img211.imageshack.us/my.php?image=capturavi7.jpg)
Ahora pregunto: ¿A Alguno le paso algo parecido? ¿Fui victima de un hacker o algo por el estilo o los gauchitos que me hostean me lo pudieron hacer? ¿Como evito que me vuelva a pasar algo asi?
Busque en la web y encontre esto, son las consecuencias de lo que provoca ingresar a estos sitios:
Citar> INFORMACION
Troyano que se instala como un BHO (Browser Helper Object) en el Internet Explorer. Cuando un formulario de algún banco en línea es enviado el caballo de troya roba información.
> CARACTERISTICAS
Cuando se ejecuta el troyano crea un archivo ".DLL" dentro de la carpeta C:\WINDOWS\SYSTEM. El nombre del archivo es al azar, utiliza 8 caracteres en minúscula y su tamaño es de 45056
Ejemplo: bgstjygf.dll
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El archivo es instalado como un Browser Helper Object, esto le permite cargarse cada vez que el Explorer sea iniciado, para ello crea las siguientes claves en el registro de Windows:
HKLM\Software\Classes\CLSID\[Valor CLSID aleatorio]
HKLM\Software\Microsoft\Windows
\CurrentVersion\Explorer
\Browser Helper Objects\[Valor CLSID aleatorio]
En la siguiente clave del registro cambia el valor existente por el camino del troyano:
HKLME\Software\Classes\CLSID
\[Valor CLSID aleatorio]\InProcServer32.
(Predeterminado) =
C:\Windows\System\[Nombre del archivo].dll
El troyano monitorea conexiones salientes a los siguientes sitios HTTPS:
.anz.com
.bendigobank.com.au
.citibank.com
.citibank.de
.commbank.com.au
.dab-bank.com
.deutsche-bank.de
.e-gold.com
.hsbc.com.au
.hsbc.com.hk
.online-banking.standardchartered.com.hk
.sparkasse-banking.de
.stgeorge.com.au
banking.lbbw.de
banking.mashreqbank.com
banknetpower.net
barclays.co.uk
cd.citibank.co.ae
cibconline.cibc.com
citibank.com.au
dit-online.de
easyweb.tdcanadatrust.com
ebank.uae.hsbc.com
ekocbank.kocbank.com.tr
hercules.pamukbank.com.tr
internetsube.akbank.com.tr
lloydstsb.co.uk
national.com.au
nbd.ae
online.nbad.com
online-banking.standardchartered.ae
pbg1.edc.citiaccess.com
standardchartered.com
suncorpmetway.com.au
westpac.com.au
www.alahlionline.com
www.almubasher.com.sa
www.arabi-online.com
www.cbdonline.ae
www.citibank.com.hk
www.dahsing.com
www.ebank.iba.com.hk
www.privatebank.citibank.com.sg
www.sabbnet.com
www.samba.com
www.scotiaonline.scotiabank.com
www.unb.com
www1.bmo.com
www1.royalbank.com
Cuando el Internet Explore realiza un petición (HTTP POST) a alguno de los dominios antes mencionados, el troyano envía infamación a un script CGI que se encuentra en el siguiente sitio:
www.refestltd.com
Este troyano afecta los sistemas operativos:
Windows 2000
Windows 64-bit (AMD64)
Windows 64-bit (IA64)
Windows 95, Windows 98
Windows Me, Windows NT
Windows Server 2003, Windows XP
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Ejecute un antivirus, tome nota de la ubicación y nombre de los archivos infectados.
3. Desde Inicio, Ejecutar, escriba REGEDIT, pulse Enter para acceder al Registro del sistema.
4. Busque la siguiente clave del registro:
HKLM\Software\Classes\CLSID
5. En el editor del registro pinche en "Edición", "Buscar" y escriba el nombre del archivo anotado en el paso 2.
6. Tome nota de la clave del registro encontrada.
7. Borre la clave.
8. Busque y elimine en la siguiente clave del registro, todas la(s) entrada(s) que contengan los valores anotados en el paso 6:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Explorer
\Browser Helper Objects
9. Cierre el editor del Registro del sistema
10. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Esto es lo que pasa despues de que se instala en la PC, pero lo que no se es como se metio en mi pagina, como entro en mi sitio, si tengo alguna falla de seguridad que desconozco... si alguien sabe, muy agradecido...
No se si es la seccion correcta para poner esto, pero quiero saber que fue lo que me paso...
Gracias Argentos, cualquier cosa si me quieren extraditar a USA les aviso :jaja:
Saludos :up:
Hola, lo mas probable es que hayan usando algun exploit de Joomla para subir su pagina de con el fin de engañar a los socios de ese banco. Es una tactica comun de los scammers, buscan alguna pagina con una CMS vunerable o desactualizado, luego con un exploit se hacen de poder para subir cosas y montan su propio sitio falso en tu hosting.
Recomendacion: cambia el password de tu hosting, actualiza Joomla a la ultima version (mas que actalizar, es recomendable que lo borres por completo (ya que nunca sabes si dejaron una puerta trasera instalada) e instales la ultima version, luego hacerle updates constantemente) y cmabiar tambien el password de la base de datos.
Baii
Gracias Predicador, ahora veo de poner la ultima version de Joomla, hace re poquito la instale y ya se me metieron...
Gracias por la respuesta, si me siguen los problemas les aviso :up: