¿Sitio con Drupal infectado?

Llevo toda la tarde con la mosca en la oreja … estaba intentando subir una noticia a uno de mis sitios drupal (No este) y me ha saltado el antivirus de mi pc diciendo que estaba tratando de infectarme con Angler Exploit Kit


Llevo toda la tarde con la mosca en la oreja … estaba intentando subir una noticia a uno de mis sitios drupal (No este) y me ha saltado el antivirus de mi pc diciendo que estaba tratando de infectarme con Angler Exploit Kit

El mensaje exacto ha sido …

«[SID: 27430] Web Attack: Angler Exploit Kit Website 6 attack blocked. Traffic has been blocked for this application: C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE»

Lo raro es que solo ha pasado una vez, he intentado reproducir el mensaje y de momento nada.

Le he pasado varios test a la web en cuestión:

https://sitecheck.sucuri.net/
http://www.unmaskparasites.com/

Todo resultado negativo, ni malware, ni spam, ni blaklists …

Alguna vez ha pasado y el malware venia de los anuncios, a veces se la cuelan a google también. Estoy revisando ficheros y de paso actualizando algún modulo que tenia pendiente.

La infeccion en cuestión venia de la ip 51.255.146.65.

Sigo leyendo a ver si doy con algo mas de información:

https://blog.malwarebytes.org/online-security/2015/11/readers-digest-and-other-wordpress-sites-compromised-push-angler-ek/

https://www.drupal.org/node/2478013

Mirando ficheros subidos … con algo parecido a esto
grep POST access_log |grep -v update.php | grep php | grep -v 404 | grep 200

Sale esto … que si que es sospechoso.

94.73.155.10 – – [04/Aug/2015:09:50:51 +0200] «POST /wp-content/uploads/gravity_forms/_input_1_.php5 HTTP/1.1» 301 521 «-» «Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_4) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.100 Safari/534.30»
176.31.51.199 – – [21/Sep/2015:02:59:16 +0200] «POST /xmlrpc.php HTTP/1.1» 200 688 «-» «Opera/7.23 (Windows NT 5.0; U) [ja]»
188.120.231.199 – – [21/Sep/2015:02:59:17 +0200] «POST /xmlrpc.php HTTP/1.1» 20 25287 «-» «Mozilla/5.0 (Windows; U; Windows NT 5.0; zh-TW; rv:1.7.6) Gecko/20050318 Firefox/1.0.2»
93.115.95.201 – – [21/Sep/2015:02:59:18 +0200] «POST /xmlrpc.php HTTP/1.1» 200 25287 «-» «Opera/6.06 (Windows 98; U) [en]»
96.44.189.100 – – [21/Sep/2015:02:59:21 +0200] «POST /xmlrpc.php HTTP/1.1» 200 6934 «-» «Opera/8.00 (Windows 98; U; en)»

No hay nada parecido a gravity_forms en la maquina asi que en principio lo descartamos.

El fichero xmlrpc.php si que existe y es parte del core de drupal, subo el fichero a virustotal y me dice que esta limpio. Lo comparo con una versión descargada de la web de drupal y es exactamente igual.

Parece que el fichero no ha sido cambiado. Y no hay mas post … bueno … si que los hay pero todos con resultado 404.

¿alguna idea?

Hace unos días, probando otra cosa instalé Linux Malware detect en el servidor y tampoco ha cantado nada.

Otra cosa rara es que … en el mismo pc (un windows 7) solo me ha saltado el aviso entrando con explorer 11 (chrome y firefox negativo). Y encima me han actualizado el iexplore esta mañana (si, aquí todo se hace de forma automatica). ¿Estará troyanizado?.

Esta es la url en cuestión a la que intentaba ir.

posible malware