« Sobre porque las webs “feas” son exitosas | Inicio | Webnova con excesivo consumo de recursos »
Sobre Malwares, clientes FTP y Google
Por leonardo | noviembre 16, 2009
En los primeros días de este mismo mes me doy cuenta con mucho asombro de que este mismo sitio; webnova, me quería infectar con un malware (badware, trojan, troyano, etc.) Al principio pensé de que se trataba de una falla del navegador que me estaba detectando algún script extraño. Pero al chequear el código fuente me entero de que tenía inserciones de <iframes> tanto en la cabecera como en el pié de página. Lo que tenía insertado eran scripts que apuntaban a otras páginas. No me preocupé demasiado, pero intentaba detectar como había pasado eso.
Reemplacé todos los archivos por los originales limpios de mi PC y el sitio marchó perfectamente de nuevo. Pero al cabo de un rato, todos los archivos "index.php" de la web volvían a tener la inserción de iframes dañinos y todos tenían la misma fecha de modificación. Recién ahí me preocupé un poco 
Averiguando, me entero de que los archivos eran modificados vía FTP. Y que alguien tenía los datos de mis conexiones. Sigo investigando y el problema radica en que los perfiles de cuentas o credenciales de los clientes FTP son perfectamente "robables". O sea hay troyanos que se instalan en tu PC y que envían toda esta información de usuarios y contraseñas a determinados servidores que acceden automátiamente y modifican tus archivos, al principio los que tienen nombre; "index", "main" y "default" y luego todos.
Este es el listado de clientes FTP vulnerables:
1. CoffeeCup Direct FTP
2. TransSoft FTP Control 4
3. Core FTP
4. GlobalSCAPE CuteFTP
5. Far Manager (con el plugin FTP)
6. FileZilla
7. FlashFXP
8. SmartFTP
9. FTP Navigator
10. Total Commander
Yo usaba por ejemplo el Filezilla, esta aplicación tiene la característica guardar las contraseñas como texto sin formato. En otras palabras, quien accede al fichero que tiene los datos de cada cuenta FTP tiene un acceso directo a tu servidor. La aplicación FireFTP (tan amada por todos) tiene el mismo problema. Quizá sea hora de que los clientes FTP empiecen a usas contraseñas cifradas.
Al margen de esto, el dios google que todo lo sabe, se enteró de que mi web era portadora de código malicioso, y como Él tiene control de todo no permitía el acceso a usuarios que tuvieran la googletolbar instalada, tiraba una advertencia en rojo (Safe Browsing de Google) advirtiendo la peligrosidad del sitio. O sea que la gran mayoría no pudo acceder por uno o dos días.
Solución:
Primero lo primero; limpiar completamente de troyanos la PC que accede vía FTP. Borrar todos los archivos del servidor y subir todo de nuevo. Cambiar la contraseña de acceso FTP y no dejarla grabada por defecto…"eso es todo amigos"
Categorías: Anuncios de Webnova, Opinión |
Sobre este Blog 