¡Infectado!

Hace un par de días recibí un mail de un buen hombre (gracias, David) que me decía:

Hola

Te escribo sólo para informarte de que el feed de tu blog da un error que provoca que no se pueda añadir tu blog a los lectores de feeds. Si accedes a http://feeds.feedburner.com/txapulin verás que hay enlaces spam y no se muestran los contenidos como deberían.

Saludos y felicidades por tu gran blog!

Ahora el problema ya está arreglado y el enlace de feedburner es normal. De hecho yo ya había notado hace unas semanas que mis nuevas entradas (que recientemente tampoco son muchas) no aparecían en mi lector de feeds, pero pensé en mirarlo más tarde, y ese “más tarde” nunca llegó, hasta que recibí el mail.

No era sólo eso. Ayer investigando también descubrí que muchas de las páginas del blog que me tiene enlazadas google contienen palabras y enlaces de SPAM clásico, viagras y otraos nombres de medicinas y alargadores de pene varios. Todavía podéis comprobarlo aquí, aunque espero que sea algo que se arregle bastante pronto.

Lo primero que hice fue actualizar la versión de wordpress a la última, la 3.3, y eso arregló ambos problemas. Pero me arrepiento de no haber investigado un poco más el código anterior porque no sé hasta dónde se extienden las ramificaciones de la intrusión. También cambié passwords, por supuesto.

A posteriori he descubierto un par de archivos sospechosos con un código bastante retorcido, que ya he eliminado. Otras cosas que he hecho:

  • He instalado un par de plugins que deben de ayudar en la seguridad del blog: Exploit Scanner, que ayuda a analizar el código para encontrar cosas sospechosas, y Login LockDown, que evita que un robot intente meter passwords a mansalva en el site de administración a ver si alguno cuela.
  • He borrado el usuario por defecto “admin”, creando uno nuevo con permisos de administrador y borrando el anterior desde el nuevo.
  • He pedido a google mediante Google Webmaster Tools que me reindexe el blog, a ver si no tarda mucho. También hay una opción interesante para ver cómo ve google las páginas de tu blog Fetch as Googlebot.

Pero sé que no es suficiente. El procedimiento normal debería ser borrar el blog e instalarlo todo de nuevo, pero lo voy a dejar para más adelante. Lo que me preocupa es si han modificado contenidos de la base de datos de entradas del blog, y también es algo que quiero averiguar pronto.

No entraré en más detalles para no aburrir al personal. Si alguien quiere saber algo, para eso están los comentarios.

Debo agradecer al tío Rinze que escribió un par de artículos (éste y éste) cuando tuvo problemas parecidos y me han dado unas cuantas ideas.

Por último, anoto un par de comandos de linux que he ido utilizando en este tema:
diff -r -i -strip-trailing-cr -b -B blog blognew Compara los contenidos de dos directorios. En este caso de mi instalación y una instalación nueva del blog, y así puedo ver que archivos pueden haber sido modificados por un intruso.
ls -lsaR | grep 2011-10 Lista los archivos del subárbol de directorios modificados en el mes de octubre. Así he encontrado uno sospechoso del 28 de octubre llamado license.txt que contenía funciones encriptadas. Imagino que para funcionar debió haber más archivos modificados ese día, pero mi nueva instalación de wordpress los machacó y me quedé sin saber cómo se activaban las funciones del archivo maligno.

Actualizo (24/ENE/2012 12h27): Un mes después todo está igual que antes. Parece que no lo conseguí arreglar y google sigue indexando páginas de viagra en este blog y el feed no va. Me pongo manos a la obra, esta vez instalando desde cero.

Tres años de Eric

Mi hijo Eric cumple tres años hoy. Ya es un pequeño hombrecito que sabe qué le gusta y qué no. “No agada música”, me decía esta mañana mientra sonaba Pereza en mi reproductor del iPod y él mojaba su desayuno especial de hoy, un cruasán, en su vaso de leche, derramando un poco al hundirlo casi por completo. “Només la punteta, i poc a poc”, le digo y él me contesta que no, que así es como se hace. Le doy la bayeta y él limpia encantado, dejando todo seco y limpio de leche, hasta que se le ocurre mojar la bayeta en la leche…

Nuestro pequeño hombrecito todavía no quiere dejar de ser bebé. Le quitamos los pañales en julio y durante una semana hizo sus necesidades en el orinal, pidiéndonoslo cuando tenía pipi o caca y fue bien, incluso en algunas noches. Pero duró una semana y perdió interés. Nosotros tardamos casi tres meses de desesperación y tres o cuatro mudas al día en darnos cuenta de que no valía la pena el esfuerzo. Volvimos al pañal y él nos diría cuando volvería a estar preparado, esta vez de verdad.

Este año Eric ha sido el hermano mayor. Marc llegó para quedarse poco antes de que Eric cumpliera dos años y al principio fue un parásito que le arrebató las tetas de mamá, luego un juguete más que valía tanto para abrazarlo como para empujarlo o tirarse encima de él y ahora es el Godzilla que le destruye los puzzles y el ser con el que se carcajea cuando se cubren los dos con una manta, pretendiendo esconderse de papá y mamá.

No ha sido un año fácil para papá y mamá. Toda la paciencia del mundo se hace poca cuando tenemos que llegar a una cita y Eric quiere jugar a que le persigamos en vez de vestirse, y una vez vestido le vienen los apretones y hay que cambiarle otra vez, o cuando no quiere comer ninguna de las cuatro cosas que le has preparado, cuando pensabas que cada una era su preferida y le acabas dando un chocolate para que al menos coma algo. Esto son sólo dos ejemplos de lo que lo ingleses llaman “the terrible twos” o “la primera adolescencia”, que le he oído decir a alguien. Las buenas noticias son que ya vamos de salida. Ahora tenemos un año para prepararnos, a ver cómo sale Marc. Y que Eric nos ayude.