{"id":3576,"date":"2012-09-04T07:44:24","date_gmt":"2012-09-04T14:44:24","guid":{"rendered":"http:\/\/www.iearobotics.com\/blog\/?p=3576"},"modified":"2013-02-07T23:29:48","modified_gmt":"2013-02-08T06:29:48","slug":"viagra-en-nuestra-web-noooooooo","status":"publish","type":"post","link":"http:\/\/www.iearobotics.com\/blog\/2012\/09\/04\/viagra-en-nuestra-web-noooooooo\/","title":{"rendered":"\u00c2\u00bf\u00c2\u00bfViagra en nuestra web?? Noooooooo!!!!!!!!"},"content":{"rendered":"

\"\"<\/a><\/p>\n

La web de iearobotics<\/a> ha sido infectada por el famoso “google viagra attack<\/strong>“. Yo no soy webmaster, ni tengo mucha idea de administrar webs. Uso la wiki para publicar informaci\u00c3\u00b3n libre, accesible para todo el mundo.<\/p>\n

Este es un post fundamentalmente para m\u00c3\u00ad, para recordar en el futuro c\u00c3\u00b3mo he arreglado esto (\u00c2\u00bfEst\u00c3\u00a1 realmente solucionado?).<\/p>\n

<\/p>\n

El primer aviso <\/h2>\n

Este malware<\/strong> te redirecciona las p\u00c3\u00a1ginas de la wiki hacia las t\u00c3\u00adpicas de viagra con las que siempre nos spamnean<\/em>. PERO s\u00c3\u00b3lo lo hace con los usuarios. Si eres el administrador no ves absolutamente nada<\/strong> y te parece que est\u00c3\u00a1 todo normal. Yo la wiki de iearobotics la uso a diario… as\u00c3\u00ad que cualquier ataque me doy cuenta en seguida… pero esta vez no.<\/p>\n

La primera noticia la tuve a trav\u00c3\u00a9s de Carlos Garc\u00c3\u00ada<\/a>. Me envi\u00c3\u00b3 un correo con el enlace del robot Mini-Skybot<\/a> dici\u00c3\u00a9ndome que me hab\u00c3\u00adan atacado la wiki. Inmediatamente fui a ver la p\u00c3\u00a1gina y …. all\u00c3\u00ad estaba tal cual. Sin ning\u00c3\u00ban tipo de ataque. Busqu\u00c3\u00a9 y rebusqu\u00c3\u00a9 pero nada encontr\u00c3\u00a9. No obstante, me qued\u00c3\u00a9 con la mosa detr\u00c3\u00a1s de la oreja. Si me lo hubiera dicho otra persona dudar\u00c3\u00ada, pero me lo dijo Carlos… as\u00c3\u00ad que algo tendr\u00c3\u00ada que haber ah\u00c3\u00ad.<\/p>\n

Houston, tenemos un problema<\/h2>\n

Busqu\u00c3\u00a9 en google la cadena “google viagra” y llegu\u00c3\u00a9 al Google Webmaster Tools Forum<\/a>. All\u00c3\u00ad encontr\u00c3\u00a9 que muchos m\u00c3\u00a1s ten\u00c3\u00adan este mismo problema. En uno de los mensajes pon\u00c3\u00adan un enlace a este post<\/a> que ha sido todo un descubrimiento<\/strong> y todo lo que he conseguido y estoy publicando aqu\u00c3\u00ad ha sido gracias a esa informaci\u00c3\u00b3n.<\/p>\n

Primero, para estar seguro que tu sitio est\u00c3\u00a1 contaminado s\u00c3\u00b3lo tienes que ir a google y buscar directamente en tu web. Yo en mi caso he hecho esto:<\/p>\n

site:www.iearobotics.com (online|pharmacy|cialis|viagra|xanax)<\/em><\/p>\n

y me salen…. \u00c2\u00a1M\u00c3\u00a1s de 305 resultados!<\/strong> \u00c2\u00a1Dios m\u00c3\u00ado! \u00c2\u00a1Iearobotics se ha convertido en un puto bazar de venta de viagras! \u00c2\u00a1Houston! \u00c2\u00a1Houston! \u00c2\u00a1Tenemos un problema!<\/em><\/p>\n

WTF??<\/h2>\n

Lo siguiente es saber exactamente qu\u00c3\u00a9 es lo que ve la gente, ya que yo como administrador lo veo todo bien. De esta manera podr\u00c3\u00a9 saber cu\u00c3\u00a1ndo est\u00c3\u00a1 arreglado. Eso lo podemos ver desde este HTTP Request and Response Header viewer<\/a>. Efectivamente, al introducir la URL de la wiki del miniskybot ya se puede ver que la p\u00c3\u00a1gina que devuelve est\u00c3\u00a1 llena de viagra and friends<\/em>.<\/p>\n

Confirmado: sufrimos viagraitis. \u00c2\u00bfY ahora qu\u00c3\u00a9?<\/h2>\n

Ahora toca localizar el archivo infectado. Tarea jodida. Como me est\u00c3\u00a1 afectando a las p\u00c3\u00a1ginas de la wiki, lo normal es comprobar primero si est\u00c3\u00a1 en alg\u00c3\u00ban fichero php de mediawiki. As\u00c3\u00ad que me conect\u00c3\u00a9 por SSH y dentro de la carpeta wiki<\/strong> ejecut\u00c3\u00a9 este b\u00c3\u00basqueda:<\/p>\n


\n$ grep -r base64_decode *
\n<\/code><\/p>\n

El -r es para que haga b\u00c3\u00basqueda recursiva por todos los directorios dentro del wiki.<\/p>\n

…. y….. \u00c2\u00a1Voila!<\/p>\n


\nincludes\/WebStart.php: eval(gzuncompress(base64_decode('eF7NPQ1z2zay
\nf4XRZGypcVwCIAjSDhPnEt+18\/Ka<\/strong>....
\n<\/code><\/p>\n

Aqu\u00c3\u00ad s\u00c3\u00b3lo he puesto un poco el comienzo, pero el c\u00c3\u00b3digo es mucho m\u00c3\u00a1s largo. Para los que tengan curiosidad, en este ZIP<\/a> est\u00c3\u00a1 el fichero original infectado<\/strong>, junto con las versiones decodificadas.<\/p>\n

As\u00c3\u00ad que ya tenemos un candidato, el fichero includes\/WebStart.php<\/strong>. Hay que eliminar el c\u00c3\u00b3digo que han metido ah\u00c3\u00ad. Luego volvemos a comprobar con el viewer<\/em> y vemos que ahora s\u00c3\u00ad que devuelve la p\u00c3\u00a1gina de la wiki original.<\/p>\n

Pero en google sigue apareciendo la P… viagra<\/h2>\n

Con este “parche” hemos conseguido que la gente pueda volver a entrar en la wiki y que vea las p\u00c3\u00a1ginas… pero en google sigue cacheada la farmacia<\/strong>, as\u00c3\u00ad que la tendremos ah\u00c3\u00ad una temporadita m\u00c3\u00a1s… Posiblemente exista una forma de solucionarlo, pero ahora mismo no s\u00c3\u00a9 c\u00c3\u00b3mo.<\/p>\n

Pero… y \u00c2\u00bfC\u00c3\u00b3mo han entrado?<\/h2>\n

Pues ni idea \ud83d\ude41 Supongo que tocar\u00c3\u00a1 actualizar el wordpress y la wiki, adem\u00c3\u00a1s de cambiar las claves de acceso.<\/p>\n

Confirmado, el “parche” funciona<\/h2>\n

Justo mientras escribo este post, Carlos Garc\u00c3\u00ada<\/a> me confirma que puede ver la wiki correctamente. \u00c2\u00a1ufff! \u00c2\u00a1Qu\u00c3\u00a9 alivio! Por supuesto, en cualquier momento pueden volver a entrar… pero es un alivio haber encontrado una soluci\u00c3\u00b3n provisional.<\/p>\n

Analizando el bicho encontrado…<\/h2>\n

El malware encontrado la verdad es que …. NO TIENE DESPERDICIO! Yo es un mundo que desconoc\u00c3\u00ada, pero hay que reconocer la creatividad e ingenio para ofuscar el c\u00c3\u00b3digo. En un post futuro mostrar\u00c3\u00a9 los resultados de mis disecciones…<\/p>\n

Obijuan<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

La web de iearobotics ha sido infectada por el famoso “google viagra attack“. Yo no soy webmaster, ni tengo mucha idea de administrar webs. Uso la wiki para publicar informaci\u00c3\u00b3n libre, accesible para todo el mundo. Este es un post fundamentalmente para m\u00c3\u00ad, para recordar en el futuro c\u00c3\u00b3mo he arreglado esto (\u00c2\u00bfEst\u00c3\u00a1 realmente solucionado?).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-3576","post","type-post","status-publish","format-standard","hentry","category-personal"],"_links":{"self":[{"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/posts\/3576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/comments?post=3576"}],"version-history":[{"count":53,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/posts\/3576\/revisions"}],"predecessor-version":[{"id":3839,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/posts\/3576\/revisions\/3839"}],"wp:attachment":[{"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/media?parent=3576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/categories?post=3576"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.iearobotics.com\/blog\/wp-json\/wp\/v2\/tags?post=3576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}