Posts con el Tag wordpress

En estos dos últimos días he sido el protagonista de una lamentable historia que tuvo un final feliz ayer por la noche.

Desde el pasado Jueves empecé a recibir emails y mensajes en Facebook, de propietarios de blogs que mantenían enlaces a éste y veían como al cargar sus blogs se mostraban alertas de seguridad por enlazar a un blog que distribuía malware. La sorpresa fué conocer que ese Blog era el mío.

Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.

No lo creí, pues era evidente que no era así, no obstante, yo mismo fuí víctima del mismo, y la prueba fué cuando al cargar mi blog, en lugar de sus páginas, empezó a aparecer esto:

Fué este el inicio de una interesante labor de investigación que quisiera compartir por si alguien se viera afectado.

Era más que evidente que yo intencionadamente NO tenía intención de atacar, ni de distribuir software dañino, por lo que estaba claro que lo que estaba causando todo esto entró solo, o lo puso alguien. Primero había que identificar cual era el ataque, y descubrí dentro del código fuente del Blog algo que no debería estar allí:

Es decir, se había intertado en el pié del blog un iframe que a su vez tenía un enlace a un dominio .ru que era evidente tenía una clara vocación atacante. El problema era el siguiente, si el troyano estaba en la parte visual del blog, debería estar en la plantilla que lo publicaba, con eliminar esta porción de código sería suficiente, pero allí no estaba, por lo tanto el problema radicaba en el software, es decir, en Wordpress, y si estaba en Wordpress estaba en todo el servidor.

Resultó ser así, los archivos de Wordpress del servidor estaban infectados, descubrí después que el maldito troyano entró en el servidor por a través de una página web alojada en dicho servidor y que corría bajo Joomla, por lo que procedí a:

1. Eliminar esa instalación de Joomla y trasladarla a otra ubicación del servidor.
2. Ver si habían mas sitios web infectados dentro del servidor, ya que hay unos 40 sitios web en el mismo. Vi con alegría que el único infectado era mi blog, menos mal que no afectó ni a mi empresa, ni a ningún cliente, ni a ningún amigo al que presto espacio del servidor para su blog.
3. Eliminar de raiz TODOS los archivos .php de la raíz de la carpeta que aloja el blog. Al ver que después de reemplazarlos el blog no daba muestras de ser malicioso instalé una copia de wordpress recién descargada.

La historia no termina aquí, dado que mientras tanto, y a pesar de que el Blog ya no tenía malware, seguía listado en los directorios como distribuidor de Malware, y especialmente uno que me preocupaba mucho: Google mostraba en los resultados de búsqueda una línea adicional que decía “Este sitio web puede dañar su equipo” Maldita la Gracia.

Entonces empezó el proceso de súplicas:

Había que convencer al amigo Google que no soy tan mala persona como algunos insinúan por ahí y que mi blog no tiene intenciones de hacer daño a nadie, por lo que tuve que solicitar la reconsideración al Google Webmasters Tools. Pero como sabemos que las cosas de palacio van despacio, pensé que sería oportuno pedir la colaboración de stopadware.org que al fin y al cabo están para eso.

Un par de horas después de pedir ayuda, recibí este correo electrónico:

Era cierto, había desaparecido de casi todos los directorios de spammers, e hijos de mala madre que distribuyen software malintencionado e incurren en malas prácticas en Internet, excepto uno, precisamente el que mas me preocupaba, GOOGLE.

No fue hasta la media noche, es decir unas 8 horas después cuando sin recibir notificación alguna, vi que las alertas en Google habían desaparecido y mi Blog había vuelto a la normalidad.

Así que, con permiso de los Troyanos seguiremos en la lucha.