Aug 19, 2007

Rebeca la Webmaster – esta es mi historia, ni lágrimas ni gloria

Rebeca la Webmaster – esta es mi historia, ni lágrimas ni gloria… un
caso de estudio de Stopbadware. (Version Española)

Introducción;
Esta es una historia de éxito de Rebeca y StopBadware – sin lágrimas
ni gloria, escrita por mi y “El Jart” para ayudar a otros webmasters y
escrito paso a paso desde una web con aviso de Google “este sitio
puede dañar su equipo” y no solo conseguir deshacernos de el si no
añadir medidas para reducir las oportunidades de volver a tener un
aviso con trampas ocultas para cualquier ataque indeseable en el
futuro.

(Nota: Ningún miembro del personal de StopBadware o google fue
involucrado y el proceso de revisión fue el mismo que para cualquier
website).

Este caso de estudio consta de tres partes, versión inglesa, versión
española (este post) versión técnica y descripción de las herramientas
y análisis detallado del código y el script que utilizamos.
Es para demostrar que un webmaster nuevo con un poco de ayuda de la
comunidad puede conseguirlo, y cualquiera puede seguir la “Guía de
Rebeca” .

Historia;
El dominio de la web no es importante para este estudio, de todos
modos hay que decir que es un Fanzine, una comunidad llena de
noticias, fotos, multimedia e historias varias, así como un foro
activo. Empecé hace dos años como moderadora del foro, no tenía
conexión a internet en casa por lo que no podía aspirar a mucho más,
cuando la conseguí comencé mi pequeña revolución, instando a los demás
a completar un trabajo que estaba a medias. Cuando todo empezaba a
tener “cara” empezaron los problemas.”

El aviso de Google;
La historia del Google Warning... uno de los miembres del equipo
estaba testeando nuestro webranking en google cuando se dio cuenta de
que teníamos ese indeseable aviso “este sitio puede dañar su equipo”
ahí es donde la historia empieza, 3 de Mayor de 2007, preguntamos en
google y nos dijeron que borrásemos cierto código y que pidiésemos
review en badware, después de un mail en el que nos decían que
estábamos limpios y que el aviso sería borrado pronto empezaron los
verdaderos quebraderos de cabeza, ya que día a día el aviso seguía
allí… después de bastante tiempo intentando limpiar los códigos yo
misma decidí pedir ayuda en el foro de StopBadWare el 28 de Julio,
afortunadamente encontré ayuda de la comunidad enseguida!

Podría haberme dado cuenta del aviso de google antes, nos habían
mandando un correo al mail de la web, pero hasta hace relativamente
poco yo no tenía acceso a esas cuentas, hasta que no le pedí las
claves a otro miembro del equipo, él tampoco tenía muy claro cómo se
accedía a esas cuentas, con lo cual no le culpo por ello, por lo que
no sé exactamente desde cuando teníamos el aviso. Finalmente nos
deshicimos del google warning el 2 de Agosto y nos quedamos
“tranquilos”.

Cómo lo solucionamos:
La primera cosa extraña, después de leer las guías de StopBadware vi
que había referencias en mi html principal (index) a un iframe .....,
Relacionado con un .swf y 'RuneScape' cómo no teníamos esos archivos
en nuestra web simplemente lo borramos, pero no estaba segura de si
era eso o no.

Averiguamos que es algo que los hackers usan para engañar a los
usuarios y que descarguen un Adobe Shockwave Player falso, los
usuarios normalmente acaban en una páguna de juegos con iconos rotos,
haciéndoles creer que su copia de Shockwave, si es que la tienen
instalada, no funciona correctamente.

Después encontramos otro iFrame src "quickcnt" escondido en el index
del directorio de administración, con otras dos llamadas a la descarga
de .swf falsos. Pensé que eso era todo cuando “Jart” me dijo que
ojeara los archivos log buscando actividad extraña, después de que él
buscase, me di cuenta de que era cierto, muchas IPS raras (web bots)
haciendo llamadas, linkeando a cosas que ya había eliminado y también
al foro.

Así pues, me dirigí al foro PHPbb, limpié todo el spam y baneé las IPS
y los dominios linkeados a spam y los logs, añadimos un robots.txt
especialmente para el foro y parcheamos varios archivos php del foro.

Pensé que habíamos acabado, pero otra vez 'El Jart' me preguntó sobre
la base de datos SQL, no sabía donde estaban. Así que me instó de
nuevo (A veces El Jart es peor que el propio badware) ¿qué
encontramos? Un foro que no sabía que existía que tenía inyecciones
SQL, con sólo spam y links a sites de dudosa reputación. También
administradores con passwords para todo el site que ya no tenían que
ver con él, y spam que se adjuntaba a algún post del foro real. Esa es
la manera en la que nos hachearon la primera vez, y si no hubiéramos
investigado a fondo hubiéramos podido ser infectados fácilmente otra
vez.

Conlusiones y final feliz;
Cuando nos dimos cuenta de que teníamos el aviso de google estaba un
poco frustrada y después de borrar el primer iFrame me molestaba la
espera. Gracias al foro de StopBadWare he averiguado cual era el
problema real y se ha solucionado de verdad, solo puedo decir que la
espera ha merecido la pena.
Así que, si tenéis un aviso de google ó mejor, mirad vuestras webs
periódicamente antes de que lo tengáis, en busca de:

1. Cualquier iFrame, especialmente si va acompañado de el nombre de un
site que no conocéis y que diga "hidden".

2. en cualquier PHP ú otros archivos por la misma razón, así como
cualquier llamada para descargar reproductores multimedia, PDF ó
cualquier archivo que no reconozcáis.

3. echad un vistazo a los archivos log, buscando cualquier contacto
extraño con vuestro site que se encuentre en ellos, os llevará un poco
saber descifrarlo pero merece la pena.

4. Echad un vistazo a los archivos de la base de datos (SQL) buscando
cualquier cosa fuera de lo normal.

5. Id al foro de StopBadWare y preguntad, a mi me ha ayudado mucho.
Para que adquiera un poco más de práctica, el Jart me llevará en sus
“próximas visitas de ayuda” después yo misma ayudaré a otros
webmasters!

Así pues, después de todo "algunas lágrimas pero mucha gloria”, un
nuevo final feliz, Jart me ha enseñado cómo añadir algunos parches más
pero me ha hecho prometer que no se lo diré a nadie, aparentemente son
trampas para "BadWare Hacker", por lo que si alguien intenta hackear
nuestro site otra vez, su “bot” vuelve a casa con su con un mal dolor
de cabeza. ;-)

Espero que esto os ayude.

Rebeca AKA "The BadWare Avenger" con la ayuda de El Jart.

No comments: