En estos dos últimos días he sido el protagonista de una lamentable historia que tuvo un final feliz ayer por la noche.
Desde el pasado Jueves empecé a recibir emails y mensajes en Facebook, de propietarios de blogs que mantenían enlaces a éste y veían como al cargar sus blogs se mostraban alertas de seguridad por enlazar a un blog que distribuía malware. La sorpresa fué conocer que ese Blog era el mío.
Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.
No lo creí, pues era evidente que no era así, no obstante, yo mismo fuí víctima del mismo, y la prueba fué cuando al cargar mi blog, en lugar de sus páginas, empezó a aparecer esto:
Fué este el inicio de una interesante labor de investigación que quisiera compartir por si alguien se viera afectado.
Era más que evidente que yo intencionadamente NO tenía intención de atacar, ni de distribuir software dañino, por lo que estaba claro que lo que estaba causando todo esto entró solo, o lo puso alguien. Primero había que identificar cual era el ataque, y descubrí dentro del código fuente del Blog algo que no debería estar allí:
Es decir, se había intertado en el pié del blog un iframe que a su vez tenía un enlace a un dominio .ru que era evidente tenía una clara vocación atacante. El problema era el siguiente, si el troyano estaba en la parte visual del blog, debería estar en la plantilla que lo publicaba, con eliminar esta porción de código sería suficiente, pero allí no estaba, por lo tanto el problema radicaba en el software, es decir, en Wordpress, y si estaba en Wordpress estaba en todo el servidor.
Resultó ser así, los archivos de Wordpress del servidor estaban infectados, descubrí después que el maldito troyano entró en el servidor por a través de una página web alojada en dicho servidor y que corría bajo Joomla, por lo que procedí a:
- Eliminar esa instalación de Joomla y trasladarla a otra ubicación del servidor.
- Ver si habían mas sitios web infectados dentro del servidor, ya que hay unos 40 sitios web en el mismo. Vi con alegría que el único infectado era mi blog, menos mal que no afectó ni a mi empresa, ni a ningún cliente, ni a ningún amigo al que presto espacio del servidor para su blog.
- Eliminar de raiz TODOS los archivos .php de la raíz de la carpeta que aloja el blog. Al ver que después de reemplazarlos el blog no daba muestras de ser malicioso instalé una copia de wordpress recién descargada.
La historia no termina aquí, dado que mientras tanto, y a pesar de que el Blog ya no tenía malware, seguía listado en los directorios como distribuidor de Malware, y especialmente uno que me preocupaba mucho: Google mostraba en los resultados de búsqueda una línea adicional que decía “Este sitio web puede dañar su equipo” Maldita la Gracia.
Entonces empezó el proceso de súplicas:
Había que convencer al amigo Google que no soy tan mala persona como algunos insinúan por ahí y que mi blog no tiene intenciones de hacer daño a nadie, por lo que tuve que solicitar la reconsideración al Google Webmasters Tools. Pero como sabemos que las cosas de palacio van despacio, pensé que sería oportuno pedir la colaboración de stopadware.org que al fin y al cabo están para eso.
Un par de horas después de pedir ayuda, recibí este correo electrónico:
Era cierto, había desaparecido de casi todos los directorios de spammers, e hijos de mala madre que distribuyen software malintencionado e incurren en malas prácticas en Internet, excepto uno, precisamente el que mas me preocupaba, GOOGLE.
No fue hasta la media noche, es decir unas 8 horas después cuando sin recibir notificación alguna, vi que las alertas en Google habían desaparecido y mi Blog había vuelto a la normalidad.
Así que, con permiso de los Troyanos seguiremos en la lucha.
#1 por iMediaTrack - Septiembre 27th, 2009 a las 13:20
Me sumo a las felicitaciones que estás recibiendo en estos días… que sean muchos más.
Hay algo que creo merece ser matizado de tu artículo, que estoy seguro ayudará a más de uno, así que este comentario pretende ir en la misma dirección.
Podríamos interpretar, por lo que te ha sucedido, que las Webs que corren bajo Joomla! son inseguras, proclives a ataques, etc. Nada más lejos de la realidad.
Sí es cierto que la grandeza de Joomla! es al mismo tiempo su debilidad: las 3.500 extensiones de terceros que existen para este CMS.
Si publicáramos una Web únicamente con los datos predeterminados o de ejemplo que trae Joomla!, sería muy difícil verla en la situación que describes.
Es muy tentador llenar un sitio con extensiones de terceros que prácticamente harán de todo y que podría ser la envidia de muchos. Sin embargo jugará en contra nuestra si no seguimos ciertas reglas de seguridad, que han sido recogidas en este artículo en clave de humor.
Lo dicho, espero que contribuya para asegurar nuestros sitios Web.
#2 por Albert Barra - Septiembre 27th, 2009 a las 13:28
Muchas gracias por la felicitación y por el matiz sobre Joomla.
Es cierto, parecería a raíz de mi post que Joomla era una fuente de infección cuando nada mas lejos de la realidad. Simplemente hay que mirar que complementos se instalan.
Pero repito, el troyano entró por un PC infectado al servidor vía FTP y simplemente se enganchó al Joomla.
Saludos
#3 por MI CASA ES UN HOSTAL - Septiembre 27th, 2009 a las 14:33
Buen post, menosmal que sólo fue en el servidor de Wordpress y no en blogspot.com sino ahí sí me fregaba, aun asi gracias a tu experiencia sé que muchos tendrán cuidado con lo dicho…
#4 por Marcelo Suárez - Octubre 10th, 2009 a las 04:04
Primero que nada, lamento lo que les sucedio.
Holacomo estasn?, con el permiso del webmaster le quiero contar que tengo pensado ir a Brasil con un amigo por todo el país.
Desde Montevideo – Uruguay, llegando a Porto Alegre hasta Belem, seria toda la costa de Brasil.
Queria contarle a todos tus visitantes nuestro página en facebook donde hablamos del viaje y nos pueden ir siguiendo. Nosotros partimos en Diciembre.
Les dejo la direcciçon y pedimos al webmaster si quiere hacer un post hablando de nosotros y de lo que queremos hacer, creemos que es un viaje interesante y que se puede dar aviso a los internautas interesados en viajes de tal emprendimiento.
Por supuesto dariamos a conocer en nuestra pçagina de facebook el blog que ha hablado de nuestro viaje.
La dirección web es:
http://www.facebook.com/pages/A-Brasil-y-mas-alla/142320446887