¿¿Viagra en nuestra web?? Noooooooo!!!!!!!!

La web de iearobotics ha sido infectada por el famoso “google viagra attack“. Yo no soy webmaster, ni tengo mucha idea de administrar webs. Uso la wiki para publicar información libre, accesible para todo el mundo.

Este es un post fundamentalmente para mí, para recordar en el futuro cómo he arreglado esto (¿Está realmente solucionado?).

El primer aviso

Este malware te redirecciona las páginas de la wiki hacia las típicas de viagra con las que siempre nos spamnean. PERO sólo lo hace con los usuarios. Si eres el administrador no ves absolutamente nada y te parece que está todo normal. Yo la wiki de iearobotics la uso a diario… así que cualquier ataque me doy cuenta en seguida… pero esta vez no.

La primera noticia la tuve a través de Carlos García. Me envió un correo con el enlace del robot Mini-Skybot diciéndome que me habían atacado la wiki. Inmediatamente fui a ver la página y …. allí estaba tal cual. Sin ningún tipo de ataque. Busqué y rebusqué pero nada encontré. No obstante, me quedé con la mosa detrás de la oreja. Si me lo hubiera dicho otra persona dudaría, pero me lo dijo Carlos… así que algo tendría que haber ahí.

Houston, tenemos un problema

Busqué en google la cadena “google viagra” y llegué al Google Webmaster Tools Forum. Allí encontré que muchos más tenían este mismo problema. En uno de los mensajes ponían un enlace a este post que ha sido todo un descubrimiento y todo lo que he conseguido y estoy publicando aquí ha sido gracias a esa información.

Primero, para estar seguro que tu sitio está contaminado sólo tienes que ir a google y buscar directamente en tu web. Yo en mi caso he hecho esto:

site:www.iearobotics.com (online|pharmacy|cialis|viagra|xanax)

y me salen…. ¡Más de 305 resultados! ¡Dios mío! ¡Iearobotics se ha convertido en un puto bazar de venta de viagras! ¡Houston! ¡Houston! ¡Tenemos un problema!

WTF??

Lo siguiente es saber exactamente qué es lo que ve la gente, ya que yo como administrador lo veo todo bien. De esta manera podré saber cuándo está arreglado. Eso lo podemos ver desde este HTTP Request and Response Header viewer. Efectivamente, al introducir la URL de la wiki del miniskybot ya se puede ver que la página que devuelve está llena de viagra and friends.

Confirmado: sufrimos viagraitis. ¿Y ahora qué?

Ahora toca localizar el archivo infectado. Tarea jodida. Como me está afectando a las páginas de la wiki, lo normal es comprobar primero si está en algún fichero php de mediawiki. Así que me conecté por SSH y dentro de la carpeta wiki ejecuté este búsqueda:


$ grep -r base64_decode *

El -r es para que haga búsqueda recursiva por todos los directorios dentro del wiki.

…. y….. ¡Voila!


includes/WebStart.php: eval(gzuncompress(base64_decode('eF7NPQ1z2zay
f4XRZGypcVwCIAjSDhPnEt+18/Ka
....

Aquí sólo he puesto un poco el comienzo, pero el código es mucho más largo. Para los que tengan curiosidad, en este ZIP está el fichero original infectado, junto con las versiones decodificadas.

Así que ya tenemos un candidato, el fichero includes/WebStart.php. Hay que eliminar el código que han metido ahí. Luego volvemos a comprobar con el viewer y vemos que ahora sí que devuelve la página de la wiki original.

Pero en google sigue apareciendo la P… viagra

Con este “parche” hemos conseguido que la gente pueda volver a entrar en la wiki y que vea las páginas… pero en google sigue cacheada la farmacia, así que la tendremos ahí una temporadita más… Posiblemente exista una forma de solucionarlo, pero ahora mismo no sé cómo.

Pero… y ¿Cómo han entrado?

Pues ni idea 🙁 Supongo que tocará actualizar el wordpress y la wiki, además de cambiar las claves de acceso.

Confirmado, el “parche” funciona

Justo mientras escribo este post, Carlos García me confirma que puede ver la wiki correctamente. ¡ufff! ¡Qué alivio! Por supuesto, en cualquier momento pueden volver a entrar… pero es un alivio haber encontrado una solución provisional.

Analizando el bicho encontrado…

El malware encontrado la verdad es que …. NO TIENE DESPERDICIO! Yo es un mundo que desconocía, pero hay que reconocer la creatividad e ingenio para ofuscar el código. En un post futuro mostraré los resultados de mis disecciones…

Obijuan