La web de iearobotics ha sido infectada por el famoso “google viagra attack“. Yo no soy webmaster, ni tengo mucha idea de administrar webs. Uso la wiki para publicar información libre, accesible para todo el mundo.
Este es un post fundamentalmente para mÃ, para recordar en el futuro cómo he arreglado esto (¿Está realmente solucionado?).
El primer aviso
Este malware te redirecciona las páginas de la wiki hacia las tÃpicas de viagra con las que siempre nos spamnean. PERO sólo lo hace con los usuarios. Si eres el administrador no ves absolutamente nada y te parece que está todo normal. Yo la wiki de iearobotics la uso a diario… asà que cualquier ataque me doy cuenta en seguida… pero esta vez no.
La primera noticia la tuve a través de Carlos GarcÃa. Me envió un correo con el enlace del robot Mini-Skybot diciéndome que me habÃan atacado la wiki. Inmediatamente fui a ver la página y …. allà estaba tal cual. Sin ningún tipo de ataque. Busqué y rebusqué pero nada encontré. No obstante, me quedé con la mosa detrás de la oreja. Si me lo hubiera dicho otra persona dudarÃa, pero me lo dijo Carlos… asà que algo tendrÃa que haber ahÃ.
Houston, tenemos un problema
Busqué en google la cadena “google viagra” y llegué al Google Webmaster Tools Forum. Allà encontré que muchos más tenÃan este mismo problema. En uno de los mensajes ponÃan un enlace a este post que ha sido todo un descubrimiento y todo lo que he conseguido y estoy publicando aquà ha sido gracias a esa información.
Primero, para estar seguro que tu sitio está contaminado sólo tienes que ir a google y buscar directamente en tu web. Yo en mi caso he hecho esto:
site:www.iearobotics.com (online|pharmacy|cialis|viagra|xanax)
y me salen…. ¡Más de 305 resultados! ¡Dios mÃo! ¡Iearobotics se ha convertido en un puto bazar de venta de viagras! ¡Houston! ¡Houston! ¡Tenemos un problema!
WTF??
Lo siguiente es saber exactamente qué es lo que ve la gente, ya que yo como administrador lo veo todo bien. De esta manera podré saber cuándo está arreglado. Eso lo podemos ver desde este HTTP Request and Response Header viewer. Efectivamente, al introducir la URL de la wiki del miniskybot ya se puede ver que la página que devuelve está llena de viagra and friends.
Confirmado: sufrimos viagraitis. ¿Y ahora qué?
Ahora toca localizar el archivo infectado. Tarea jodida. Como me está afectando a las páginas de la wiki, lo normal es comprobar primero si está en algún fichero php de mediawiki. Asà que me conecté por SSH y dentro de la carpeta wiki ejecuté este búsqueda:
$ grep -r base64_decode *
El -r es para que haga búsqueda recursiva por todos los directorios dentro del wiki.
…. y….. ¡Voila!
includes/WebStart.php: eval(gzuncompress(base64_decode('eF7NPQ1z2zay
f4XRZGypcVwCIAjSDhPnEt+18/Ka....
Aquà sólo he puesto un poco el comienzo, pero el código es mucho más largo. Para los que tengan curiosidad, en este ZIP está el fichero original infectado, junto con las versiones decodificadas.
Asà que ya tenemos un candidato, el fichero includes/WebStart.php. Hay que eliminar el código que han metido ahÃ. Luego volvemos a comprobar con el viewer y vemos que ahora sà que devuelve la página de la wiki original.
Pero en google sigue apareciendo la P… viagra
Con este “parche” hemos conseguido que la gente pueda volver a entrar en la wiki y que vea las páginas… pero en google sigue cacheada la farmacia, asà que la tendremos ahà una temporadita más… Posiblemente exista una forma de solucionarlo, pero ahora mismo no sé cómo.
Pero… y ¿Cómo han entrado?
Pues ni idea 🙁 Supongo que tocará actualizar el wordpress y la wiki, además de cambiar las claves de acceso.
Confirmado, el “parche” funciona
Justo mientras escribo este post, Carlos GarcÃa me confirma que puede ver la wiki correctamente. ¡ufff! ¡Qué alivio! Por supuesto, en cualquier momento pueden volver a entrar… pero es un alivio haber encontrado una solución provisional.
Analizando el bicho encontrado…
El malware encontrado la verdad es que …. NO TIENE DESPERDICIO! Yo es un mundo que desconocÃa, pero hay que reconocer la creatividad e ingenio para ofuscar el código. En un post futuro mostraré los resultados de mis disecciones…