Magento Estable sin virus y sin iframe malicioso
Pecando de inocente, creyendo que todos mis clientes de servidor, tenian libre su PC de virus, iframe malicioso o spyware. Me encontré un día que el Servidor DV de Media Temple estaba infectado con un iframe malicioso en todo los index.php e index.html. Y como es obvio el index.php de Magento estaba infectado, saliendo una alerta, al entrar a la tienda de: “Esta es una web atancante…”
Hice las consultas a mi proveedor del servicio en USA y me dijeron que cambiará mis contraseñas de SSH, pero ni una pista de como limpiarlo.
Después de varios días de análisis, lo solucioné así:
1.- Crear una cuenta en Webmaster Google e ingresar el dominio afectado, para que veamos el mensaje de alarma que google nos tiene considerados como una web atacante. Por el momento no haremos nada en Webmaster Google. Cuando limpiemos nuestro servidor, le solicitaramos una revisión a google (demoran aprox, una 12 horas en sacarte del listado de indignos sitios atacantes).
2.- Instalar Superantispyware en su PC y correrlo. Está es la mejor herramienta, que según mi criterio, que realmente sirve para sacar spyware y software malignos de su PC. No basta con tener el super premium de los virus tradicionales como NOD32 o PANDA, ellos no sirven para nada cuando tienes un spyware o software maligno en tu PC, solo SuperAntispyware es eficaz.
Bajen la versión gratuita de aquí: http://www.superantispyware.com/ corran Antispyware de manera normal en windows y luego corranlo en modo seguro (f8 de windows). Este es absolutamente necesario, ya que si no limpian su PC, el iframe maligno se seguirá metiendo a su servidor vía FTP, cuando suban los archivos. Los que ocupan MAC, no tomen en este punto en consideración.
3.- Después instalen Clam Antivirus en su Servidor (versión para Linux, Centos) de esta manera:
yum install clamd
Para actualizar el antivirus así:
freshclam
Listo el antivirus está instalado y actualizado, ahora arranquenlo de esta manera en su Servidor para revisarlo:
clamscan -r /var/www/vhosts/tu_dominio.cl
Para especificar los directorios infectados sean movidos a un directorio de cuarentena, se utiliza el mandato clamscan con la opción –move especificando un directorio que servirá como cuarentena. El directorio de cuarentena debe de existir previamente.
clamscan --move=/directorio/de/cuarentena -r /cualquier/directorio
Para especificar que los ficheros infectados sean eliminados, se utiliza la opción –remove con el valor yes. Esta opción debe ser utilizada con precaución.
clamscan --remove=yes -r /cualquier/directorio
La salida del mandato clamscan puede llegar a ser muy extensa. Si se desea que solo se muestre la información de los ficheros infectados, se utiliza el mandato clamscan con la opción –infected.
clamscan --infected --remove=yes -r /cualquier/directorio
Para que el mandato clamscan guarde la información de su actividad en una bitácora en particular, a fin de poder examinar posteriormente ésta a detalle, se puede utilizar éste con la opción –log especificando la ruta de un fichero donde se almacenará la bitácora de actividad.
clamscan --log=/home/usuario/clamscan.log --infected --remove=yes -r /cualquier/directorio
Para configurar ClamAV para ser utilizado con un servidor de correo electrónico con Sendmail, consultar el documento titulado.
Fuente original de este punto 3 en: fuente
4.- Una vez chequeado si tenemos un virus y lo hayamos limpiado, vamos a limpiar el iframe maligno a mano. En todos los index.php o index.html deben buscar el iframe maligno que comunmente se llaman “cokk87.com” o “yerpso.com” estos nombres están metidos al final del index.php y en index.html entremedio del código, están incrustados en un código iframe algo así:
""
Este código deben borrarlo a mano uno por uno en todos sus index.html e index.php.
Si tiene acesso a shell el comando de rastreo rápido es el siguiente (con alguna palabra que contenga el iframe):
find /var/www/vhosts/*/httpdocs -name *.php | xargs grep -l cokk87.com
o así para los html:
find /var/www/vhosts/*/httpdocs -name *.html | xargs grep -l cokk87.com
Y en todo el servidor así:
find /var -name *.php | xargs grep -l cokk87.com
5.- Ahora ir a nuestra cuenta Webmaster Google y solicitar la revisión a los señores de Google, para que nos saquen de la lista de “web atacantes”. Hagan café y compren 2 cajetillas de cigarrillos y esperan unas 12 horas aprox. y su sitio volverá a la vida!.
Atte
Boris Durán R.
Magento Chile Google+