¡Infectado!

Hace un par de días recibí un mail de un buen hombre (gracias, David) que me decía:

Hola

Te escribo sólo para informarte de que el feed de tu blog da un error que provoca que no se pueda añadir tu blog a los lectores de feeds. Si accedes a http://feeds.feedburner.com/txapulin verás que hay enlaces spam y no se muestran los contenidos como deberían.

Saludos y felicidades por tu gran blog!

Ahora el problema ya está arreglado y el enlace de feedburner es normal. De hecho yo ya había notado hace unas semanas que mis nuevas entradas (que recientemente tampoco son muchas) no aparecían en mi lector de feeds, pero pensé en mirarlo más tarde, y ese «más tarde» nunca llegó, hasta que recibí el mail.

No era sólo eso. Ayer investigando también descubrí que muchas de las páginas del blog que me tiene enlazadas google contienen palabras y enlaces de SPAM clásico, viagras y otraos nombres de medicinas y alargadores de pene varios. Todavía podéis comprobarlo aquí, aunque espero que sea algo que se arregle bastante pronto.

Lo primero que hice fue actualizar la versión de wordpress a la última, la 3.3, y eso arregló ambos problemas. Pero me arrepiento de no haber investigado un poco más el código anterior porque no sé hasta dónde se extienden las ramificaciones de la intrusión. También cambié passwords, por supuesto.

A posteriori he descubierto un par de archivos sospechosos con un código bastante retorcido, que ya he eliminado. Otras cosas que he hecho:

  • He instalado un par de plugins que deben de ayudar en la seguridad del blog: Exploit Scanner, que ayuda a analizar el código para encontrar cosas sospechosas, y Login LockDown, que evita que un robot intente meter passwords a mansalva en el site de administración a ver si alguno cuela.
  • He borrado el usuario por defecto «admin», creando uno nuevo con permisos de administrador y borrando el anterior desde el nuevo.
  • He pedido a google mediante Google Webmaster Tools que me reindexe el blog, a ver si no tarda mucho. También hay una opción interesante para ver cómo ve google las páginas de tu blog Fetch as Googlebot.

Pero sé que no es suficiente. El procedimiento normal debería ser borrar el blog e instalarlo todo de nuevo, pero lo voy a dejar para más adelante. Lo que me preocupa es si han modificado contenidos de la base de datos de entradas del blog, y también es algo que quiero averiguar pronto.

No entraré en más detalles para no aburrir al personal. Si alguien quiere saber algo, para eso están los comentarios.

Debo agradecer al tío Rinze que escribió un par de artículos (éste y éste) cuando tuvo problemas parecidos y me han dado unas cuantas ideas.

Por último, anoto un par de comandos de linux que he ido utilizando en este tema:
diff -r -i -strip-trailing-cr -b -B blog blognew Compara los contenidos de dos directorios. En este caso de mi instalación y una instalación nueva del blog, y así puedo ver que archivos pueden haber sido modificados por un intruso.
ls -lsaR | grep 2011-10 Lista los archivos del subárbol de directorios modificados en el mes de octubre. Así he encontrado uno sospechoso del 28 de octubre llamado license.txt que contenía funciones encriptadas. Imagino que para funcionar debió haber más archivos modificados ese día, pero mi nueva instalación de wordpress los machacó y me quedé sin saber cómo se activaban las funciones del archivo maligno.

Actualizo (24/ENE/2012 12h27): Un mes después todo está igual que antes. Parece que no lo conseguí arreglar y google sigue indexando páginas de viagra en este blog y el feed no va. Me pongo manos a la obra, esta vez instalando desde cero.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *