Nota del autor

Si la entrada que estás leyendo carece de imágenes, no se ve el vídeo que teóricamente lleva incrustado o el código fuente mostrado aparece sin formato, podéis conocer los motivos aquí. Poco a poco iré restableciendo la normalidad en el blog.
Este blog es un archivo de los artículos situados previamente en Lobosoft.es y ha dejado de ser actualizado. Las nuevas entradas pueden encontrarse en www.lobosoft.es. Un saludo,
Lobosoft.

lunes, 21 de julio de 2008

Lobosoft is under attack!

El verano es tiempo de descanso, en el que la televisión comienza a emitir programas insulsos y faltos de contenido, y las webs ofrecen contenidos más refrescantes y acordes a este momento. En Lobosoft, aprovechando el horario reducido de verano, quise lanzar una serie de entradas más “ligeras” que quitasen peso al contenido técnico del blog, y me diesen algo de tiempo para preparar otras más jugosas sobre diversos temas en los que ando investigando. Así que, salvo noticias de última hora que considerase jugosas, había preparado unos 12 ó 14 entradas que se irían repartiendo a lo largo del mes de julio, y que terminarían precisamente dentro de uno o dos días. Esto me ha permitido permanecer un poco ajeno al blog, algo de lo que me arrepiento, sin duda.


El pasado fin de semana estuve viendo un poco las estadísticas del blog, para ver cómo había evolucionado en este tiempo de desconexión, y me encontré con un triste descenso de las visitas al blog.


descensovisitas.png


Desde mediados de mes, el número de visitas descendía sin cesar, y tras validar los plugins que tengo instalados en Wordpress, comprobé que el Sitemap se había ido generando adecuadamente, tras publicarse cada entrada de forma automática, y que sólo faltaban los meta tags, por lo que tal vez Google me habría penalizado un poco. Los cambié el domingo y lo dejé estar. Sin embargo, hoy lunes he tenido tiempo por la tarde para revisar más a fondo lo que estaba ocurriendo. Tras ver que tenía varios visitantes que habían accedido al sitio tras teclear en el buscador Live de MSN la palabra “viagra”, me he empezado a preocupar.


viagra.png


Vale que hablemos del pantallazo azul de la muerte, pero de ahí a las pastillitas azules de la alegría senil va un trecho. Cuál no habrá sido mi sorpresa cuando, tras buscar “lobosoft” en Google me he encontrado con que había bajado del tercer puesto del ranking a una triste posición en la segunda página de resultados. ¿Qué podía estar pasando? Todo apuntaba a que Google me había baneado, pero ¿por qué? He cargado la página, me he puesto a revisar el código fuente y casi me da un soponcio cuando me he encontrado con el siguiente contenido:


cf.png


Y así, ad infinitum. Todo un precioso DIV oculto repleto de enlaces a un sitio web (bastante sospechoso, por cierto, después profundizaré en ello) con la pastillita de marras en todos ellos ¬_¬ ...


viagrag.PNG


En lo primero que he pensado ha sido en alguna vulnerabilidad de Wordpress o de alguno de los plugins que tengo instalados. Por la posición del código HTML inyectado, parecía estar en el index.php o el header.php de la plantilla de Wordpress. Me he conectado al servidor mediante FTP, y me he encontrado con la desagradable sorpresa de un header.php modificado el día 15 de julio, y con un tamaño tremendamente superior al habitual. Tras descargarlo, he comprobado que el DIV había sido insertado directamente en el código PHP, al final del mismo.


headerphp.png


Tras modificarlo y volver a subirlo, los pasos han sido claros y precisos:




  1. Proteger aún más el directorio y archivos de posibles modificaciones.

  2. Cambiar todas las contraseñas, tanto de Wordpress como del servidor de hosting.

  3. Avisar al proveedor de hosting de la incidencia. Posiblemente la alteración del archivo haya venido por un fallo de seguridad en Apache o en los módulos CGI. De todas formas no descarto Wordpress y sigo investigando sobre ello.

  4. Informar a Google de la incidencia y rogar por su perdón infinito. Suelen tardar unas semanas en subsanar las desviaciones en las consultas, de modo que me temo que tengo por delante un mes de julio un poco escaso en cuanto a visitas :’( Voy a ser bueno, San Google, de verdad, y a cumplir todas tus recomendaciones.

  5. Investigar, claro está, más sobre el sitio web de marras. Aparece en numerosos resultados de Google, por lo que parece que ha infectado a todo tipo de páginas. De blogs a foros, directorios web, portales… De hecho, si accedemos al sitio web, su código es ciertamente curioso. Contiene un enlace que no funciona (intro.php) y una web incrustada (src=""...) y comentada con una especie de radio on-line. Si nos vamos a la carpeta /home, sí carga el index.php y aparece una página de la “Evangelia University”. Y mucho texto en algún idioma asiático que desconozco, pero que se parece bastante a las serpientes y gusarapos que han salido de mi boca al detectar la intrusión.

  6. Informar a Google sobre el spam que están sufriendo las numerosas webs que he visto en el punto anterior.

  7. No dejar nunca más solo a mi pobre blog [snif]. Reunión de pastores...


evangeliaedu.jpg


Así no es de extrañar la subida que tienen en los últimos meses:


subida.png

Publicado por en
Etiquetas: , , , , , ,

1 comentario:

  1. WP-Scanner, seguridad en tu blog de Wordpress28 de julio de 2008, 17:02

    [...] que, en un entorno tan expuesto como Internet, pueden venir por los frentes más diversos. Ante el ataque sufrido por este blog hace unas semanas, y aparte de llevar a cabo las pertinentes actualizaciones, he estado [...]

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)