Según el blog de Unmask Parasites, más de 4.000 sitios WordPress hackeados estarían inundando de imágenes utilizadas para posicionar sitios de falsos antivirus.
Lo que hacen estos indeseables del Black Hat SEO, usando el exploit en Timthumb del que avisé, es lo siguiente …
Con el siguiente patrón de URL: hxxp:///?[a-f]{3}= , donde [a-f]{3} es una combinación de tres letras desde la «a» a la «f» y las son combinaciones de palabras clave separadas por guiones que contienen o imágenes de palabras o imágenes normales, por ejemplo:
hxxp://ejemplo.com/?fef=imágenes-de-mitzi-mueller-wrestling
hxxp://ejemplo.net/?cda=imagen-frutas-tropicales-index
Para ello usan páginas con puerta trasera que introducen en plantillas normales de sitios WordPress, donde el contenido original se reemplaza con unas veinte miniaturas y pequeños bloques de texto relativos a las palabras clave a posicionar.
Las imágenes no están enlazadas desde sitios externos sino que enlazan a imágenes a «tamaño completo» con URLs como estas:
/?[a-f]{3}=.jpgPor ejemplo:
/?fec=imágenes-de-blagojovich-arrestado-Eun8671l43WGQNUa7rKWUdG/5d60kf6AQ4VM4KfPdbfaMro2PNRMVlYmniC50Kh6SJdwMkeSz7s19kggH0WT4j_AYuW36OEWyfkABshi/Tk5R16sYiKUfS8OJGDZ_K7p/WoYUNZZ_Q==uek.jpg
En la parte superior de las imágenes se muestra una inscripción – el nombre de dominio del sitio hacheado. De este modo los indeseables estos hacen parecer que las imágenes pertenecen al sitio que han hackeado, como si fuera contenido propio, no imágenes insertadas o robadas. Al mismo tiempo, de este modo, es más fácil identificar la imagen envenenada en los resultados de búsqueda.
Los archivos de imágen contienen la siguiente cadena en su interior: < CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 100. Esto significa que se crearon usando la biblioteca gráfica GD.
Parece ser que los hackers usan un script PHP para coger imágenes bien posicionadas (en los resultados de búsqueda de Google Imágenes), las redimensionan a tamaño de miniatura (un ancho de entre 200 y 300 pixels) y a tamaño completo (algunas a tamaño aleatorio, en algunos casos incluso a tamaños mayores que la original, para posicionarlas mejor al ser más grandes en pixels) y finalmente añaden el sello del nombre del dominio hackeado.
Índice de contenidos
Marcas temporales
Al fondo del código HTML de las páginas puerta trasera puedes ver comentarios como estos:
<!-- 7/24/2011 4:30:03 PM --><!-- new england railroad pictures -->
La marca temporal y las palabras clave. De este modo puedes fácilmente ver cuando se creó la puerta trasera.
Redirecciones
Las páginas puerta trasera tienen buenas posiciones en algunas palabras clave tanto en la búsqueda web de Google como en la de Imágenes (especialmente cuando buscas la frase exacta). Sin embargo, las redirecciones maliciosas ocurren solamente cuando haces clic en el resultado de búsqueda en Google Imágenes, lo que prueba que la meta final es inundar Google Imágenes de estas imágenes, o sea, una campaña pura y dura de black-hat SEO.
La redirección tiene dos etapas. En la primera la redirección va a un servidor intermedio (TDS) que, a continuación, redirige a unas páginas web que lanzan una herramienta antivirus falsa (hay dos variaciones diferentes).
Esta es una cadena real de redirección:
302->hxxp://video.bywhy .com/?k=girdles+pictures&s=google&r=http%3A%2F%2Fwww.google.com%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fbcsmusic.me%2F%253Fbdd%253Dgirdles-pictures-Vyhynx%2FbFO_9rUEvfK72isOTIVpmnmzLxnzp51gHqzVXi5I5jE2lyrsssMFcfbwOFoXk3VR8TwxTQeexe%2FonLd6RPIG_M6hkLQMh6ACctX4kzsuwbN5w_6YOYxZYj1AJQl1OBCXNjPYQoA%253D%253Dxy5.jpg%26imgrefurl%3Dhttp%3A%2F%2Fbcsmusic.me%2F%253Fbdd%253Dgirdles-pictures%26usg%3D__6ho2Rtl5S4GcwInf2xzUhPN4vkI%3D%26h%3D439%26w%3D262%26sz%3D98%26hl%3Den%26start%3D19%26zoom%3D1%26um%3D1%26itbs%3D1%26tbnid%3DoHNHWFmQjxIwqM%3A%26tbnh%3D127%26tbnw%3D76%26prev%3D%2Fsearch%253Fq%253Dsite%3Abcsmusic.me%2526um%253D1%2526hl%253Den%2526sa%253DN%2526channel%253Dfs%2526biw%253D1222%2526bih%253D260%2526tbm%253Disch%26ei%3DnU80TtGDG4mE-wa5vPH9DA&d=http%3A%2F%2Fbcsmusic.me%2F%3Fbdd%3Dgirdles-pictures 302->hxxp://update34.svernick .in/index.php?Q0rhQ9S3be5GTHpOM5RNjiUpBaa7CmPerSb+VBBE57iCXCC1iDs+XgOe4qXsg1ggs5uk7Ck1GcwyRZ2vqM7MPVofO5WM3eBmP5tRpBeBu/kPphowRYvnTq2+4BmHNg==
Como puedes ver, el servidor TDS recibe información acerca de las palabras clave, la fuente, y de la URL de referencia.
El dominio intermedio cambia cada día. En realidad pertenecen a otros sitios hackeados (en su mayoría creados con WordPress)
Aquí tienes unos cuantos dominios del TDS intermedio usados en este ataque:
video.bywhy .com
ppopo2.bget .ru
awalstudios .com
demo.hireindians .net
www.privatepilot .hu
footballgirdles .tk
El nombre de dominio de la página web del falso antivirus consiste en un dominio .in que cambia cada día, y unos cuantos subdminios «updateNN» o «scanNN», por ejemplo, «update82.yourscan.in» o «scan73.moomles.in.
Aquí tienes unos cuantos dominios .in de los falsos sitios antivirus usados en este ataque:
spelleit .in
svernick .in
senerino .in
moomles .in
klopster .in
bastandro .in
waspeeds .in
yourscan .in
x-scan .in
La mayoría de los sitios .in apuntan a la dirección IP 193.105.154.31 (Reino unido, con información de contacto de Lituania).
Rango de detección
Los falsos sitios antivirus lanzan ejecutables .exe «scareware» con nombres como InstallSecurityScanner_NNN.exe, o
InstallSecurityScanner_225.exe. Estos archivos se vuelven a re-empaquetar cada día y su rango de detección (según VirusTotal) es bastante bajo. El rango típico de detección para ficheros servidos actualmente es de 8/43 (18,6%). Esto suele mejorar en tanto en cuanto el fichero malicioso no se use y se sirva un nuevo fichero con bajo rango de detección desde el servidor del antivirus.
Como he comentado arriba, y por concretar más, se han detectado 4.358 sitios comprometidos. Actualmente Google ha detectado menos del 5% de los mismos. Si usas la página de diagnóstico de navegación segura de Google te dice algo así:
El software malicioso está alojado en 2 dominio(s), incluyendo bastandro .in/, senerino .in/.
Parece que 3 dominio(s) están funcionando como intermediarios para distribuir malware a los visitantes de este sitio, incluyendo hireindians .net/, awalstudios .com/, bywhy .com/.
Timthumb
Como ya avisé hace unos días, hay que poner al día Timthumb si lo usa tu tema, no hay excusas, más visto lo visto de los resultados ¿no te parece?
.htaccess
Pero no solo Timthumb es el culpable, también se han detectado sitios en los que hackers han creado un .htaccess con reglas de rewrite superiores al directorio raíz del sitio. Las reglas de rewrite mapean las URLs puerta trasera a algún script PHP. Ahí es nada.
Cache
Todas las páginas puerta trasera están cacheadas en alguna parte del servidor. Al contrario que otros ataques de envenamiento SEO estos no se hacen en vivo. Si especificas algunas palabras clave diferentes en la URL obtendrás un error 404. Dicho sea de paso, estas páginas de error 404 son distintas a las normales que tenga el sitio hackeado.
Otra prueba de que el contenido spam está cacheado y de que no se inyecta en la ejecución de páginas activas de WordPress son las marcas temporales en el fondo del código HTML y de las entradas antiguas de la sección de «Entradas recientes». En algunos sitios, en vez de una plantilla real del sitio, usan una plantilla prefabricada de Kubrick con una marca final que no cambia de sitio a sitio sino que es siempre la misma (WordPress 2.3.1, 22 queries, 0.912 seconds).
¿Que hago?
Hay varias comprobaciones y/o acciones que podemos realizar:
- Pues lo primero repasar tu fichero
.htaccessy elimina cualquier regla de rewrite que no sepas que hace. Ante la duda bórralo y vuelve a guardar la estructura de enlaces permanentes en los Ajustes de WordPress para que se vuelva a crear uno limpio. - Actualiza TimThumb a la versión segura. Ya te he puesto los enlaces a las maneras de hacerlo más arriba, en la entrada que escribí el otro día tienes los distintos modos de hacerlo
- Ve a las Herramientas para Webmasters de Google y revisa si tu sitio tiene software malicioso
- Instala algún plugin detector de exploits y ejecútalo. Hay varios y buenos «en el repositorio oficial», haz una búsqueda por «exploit»
Que no sea nada 😉
Gracias a Juan por el aviso
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Hackers, hackers everywhere D:
Lástima que tantos blogs se vean afectados. Una pena.
Hackers, hackers everywhere D:
Lástima que tantos blogs se vean afectados. Una pena.
Buenas me gustado su articulo mucho yo se lo que es que te hagan un de .htaccess con reglas de rewrite superiores al directorio raíz del sitio. Esto suele pasar por una fallo del hosting se soluciona con esto # protección extrema de htaccessorder allow,denydeny from allsatisfy all
Me pasó y aunque revise el htaccess y todo estaba bien, despues de leer tu articulo volvi a revisar (por si las moscas) y el codigo estaba escondido como 100 lineas mas abajo. Ahora aunque limpio, chequeados los index y borrado el theme, mi web sigue redireccionada a una pagina rusa
Solucionado todo
Me pasa exactamente eso y llevo semanas dándole vueltas, ¿cómo lo solucionaste? ¡Gracias!
A mi me pasó en tres sitios y en uno de ellos tenía 334 páginas con imágenes fake. Fue una locura, tuve que buscar ayuda con un experto.