Oh, no! He patit l’atac del Gumblar!

Doncs sí. La passada nit del divendres al dissabte aquest blog va ser infectat pel l’exploit Gumblar.cn. Que no regni el pànic, ara ja està tot desinfectat i vacunat.

El principi.

Abans d’ahir els robots de Google detecten al blog un enllaç maliciós i afegeixen el meu lloc a la seva llista negra. Per primera vegada veig en directe dins del meu Firefox la següent pantalla:

firefox
Alerta del Firefox sobre un lloc web atacant

I clicant a “Per què s’ha blocat aquest lloc?” em trobo més detalls:

Informació de Google sobre l'atac
Informació de Google sobre l'atac

Val a dir que he fet proves amb altres navegadors i ni l’Internet Explorer 8 ni l’Opera 9.6 van avisar de res. El Chrome sí que ho va detectar.

L’alerta, per Twitter.

Curiosament me n’assabento de tot a través del meu compte de Twitter. Heu vist mai com es la “cara B” de la pàgina del mussol del Twitter? Doncs així:

La  cara B de la pàgina del mussol del Twitter
Aspecte per al propietari d'un compte suspès del Twitter.

Espero que vosaltres no la veieu mai en directe. Agafa com una angoixa… Els de Twitter m’han suspès el compte degut a què l’URL del blog apareixia a la meva pàgina. Al principi m’emprenyo amb ells i obro una incidència (una mica encesa) via Get Satisfaction. Pobres, han fet el que calia! Un cop descobreixo la causa, els escric per dir-los que ja he eliminat l’enllaç sospitós. Ara estic a l’espera que me’l retornin… Fins i tot ha començat un intent de difusió d’una etiqueta #free-antoniopolonioÉs que no es pot córrer. Ja se sap, els nervis del moment. Igualment, gràcies followers! (llagrimeta)

La desinfecció.

Ràpidament cerco informació sobre el Gumbler dels trons. Molt poca literatura, i gairebé tota estrangera. Veig que finalment es tracta d’un script que infecta diversos fitxers del servidor, sempre dins del lloc web infectat, mai infecta a altres llocs del servidor a través de la màquina. Això significa que només pot entrar via FTP. L’script ha inserit blocs de codi al principi de diversos fitxers PHP. Son fàcils d’identificar perquè comencen amb l’estructura

<?php if(!function_exists('tmp_lkojfghx')){if...

També ha creat un fitxer image.php amb codi maliciós dins del directori images del tema en curs. Ràpidament faig una cerca a tots els arxius del lloc. Identifico uns deu fitxers alterats i em raspallo el codi. Buf, solucionat. De seguida entro al meu compte de Google Webmaster Tools i demano la revisió del lloc. En menys de 12 hores ha està restaurat. Pel que he pogut llegir, aquest atac s’està escampant de forma bastant galopant per la Xarxa.

La protecció.

El que encara no tinc clar és com s’ha arribat a infectar el meu lloc web. Com han pogut accedir al servidor? Rebentant la contrasenya no ho crec, sóc dels que utilitzo claus super fortes, d’aquelles que emprenyen tant als usuaris. (“Neeen! No podries posar una contrasenya més senzilla? Aquesta no hi ha qui la recordi!”) Per si les mosques, aquestes son algunes de les accions que he pres:

  • Fer una anàlisi completa, amb un programa antiespies, al meu ordinador personal (tot i que no sembla que hagi trobat res…).
  • Des d’un altre ordinador, procedir a canviar les credencials del compte FTP del lloc.
  • No guardar mai les claus de connexió dins dels programes client que faig servir per a les connexions FTP (bàsicament el FileZilla).
  • I continuar monitorant de forma habitual els llocs web que administro.

Jo, quin cap de setmana.

La veritat és que episodis així t’amarguen el dia. Tot plegat només han estat unes hores, però els nervis que he passat encara em duren. Ja ho sé, només es tracta del meu lloc personal, però em fa ràbia descobrir que aquestes coses també em poden passar a mi, en contra del que sempre pugui haver cregut. En fi, l’important és reaccionar de pressa i saber apagar el foc de seguida.

I ara a esperar que em tornin el compte de Twitter.

Això si que em desespera. Sort que la meva gossa, la Piga, s’ha prestat a fer-me de secretària i a escriure al seu compte de Twitter tot el que li vaig dictant. Però aquest matí ha marxat d’excursió i m’ha deixat tirat…

Informació addicional.

Algunes pàgines a Internet on he pogut trobar informació al respecte:


Actualització 17/05/2009 22:33

He trobar residus de codi de l’atac també en alguns arxius .js Aquest codi, sempre al final dels fitxers, comença d’aquesta forma:

<!-- (function(GCTHC){var...

A l’accedir a algunes pàgines que criden a alguna funció d’aquests fitxers, algun antivirus ha alertat de possibles problemes. @jplanas m’ha avisat que el seu Avast li ha mostrat un avís (gràcies maco). El meu Panda Antivirus (llicenciat i actualitzat a tope, i del que ja em començo a cansar) no ha dit ni mu.

En un PC he instal·lat un Avast i sí, al accedir a determinades pàgines el programa ha enviat un avís de troià. Un cop netejats els arxius .js he fet un repàs a tot el web amb l’Avast connectat i sembla que ja no hi ha cap problema.

Continuarem vigilant…

4 pensaments quant a “Oh, no! He patit l’atac del Gumblar!”

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *