Your websites have been attacked

"Dear  Pedro,

This is an urgent notice regarding the websites you host in your .

Your websites have been attacked by a third party: Malicious code has been inserted into your files, which aims to infect the computer of every visitor to your website (a technique called "drive-by download")."

De esta forma comenzaba el primer correo que abría el pasado sábado por la mañana, así, antes de desayunar. Y no me lo creí. Me puse a revisar los encabezados del mensaje y ya me sonaba mal: los destinatarios eran "todos" los administradores de la página web; es decir, los más habituales que suelen tener: webmaster@..., admin@..., administrator@... ¡Sonaba fake total!

Así que lo siguiente fue irme al panel de control de las herramientas webmaster de Google... ¡bingo! Un escueto y "temorífico" mensaje que confirmaba que el sitio web alojaba contenido malicioso y había sido "vetado" por el buscador. Automáticamente fui a comprobarlo, introduciendo la dirección web en el buscador de Google y, efectivamente, salía un mensaje informando que esa página era mala, mala...

Me estaba empezando a preocupar. Vuelta a leer más despacio y por completo los correos tanto del alojador como de Google, lo que me llevó a las páginas no ya sospechosas sino ¡culpables!. Edición de código y... ¡ahí estaba! Escasamente diez líneas de código JavaScript que redireccionaban, sin que el internauta fuera consciente, a páginas más perversas aún que infectarían sin perder un segundo el ordenador del pobre infeliz que se hubiere asomado a la mía.

Copio el código dañino para examinarlo después, limpio la totalidad del sitio (incluyendo varios ficheros javascript más, autores de la infección de mis páginas), restablezco los permisos de los ficheros .html (habían pasado a 200 cuando deben ser otros), compruebo que todo está limpio y que huele a lejía y vuelvo a subir los .html, ahora impecables.

Pero el aviso en la página de resultados del buscador de Google sigue ahí, por lo que vuelvo a irme a la página de administración del webmaster en Google y, haciendo uso de la opción de "pedir una nueva revisión del sitio tras haberlo limpiado" acepto las condiciones y se lo remito. ¡Oh, cielos! Pero van a ser hasta un par de días de angustiosa espera los que puede que pasen antes de que quiten el aviso... Mala publicidad para el sitio, mala.

Resignado me pongo a hacer de CSI a ver que puedo sacar en claro; reviso los logs de varios días atrás, hasta que veo unas direcciones IP un tanto reincidentes. A buscar quiénes son, y me encuentro que el código js remitía a un par de páginas web rusas alojadas en un servidor chino... Y eso me olía aún peor que el encabezado del mensaje de correo que destapó todo. Malo, malo, "pior".

La tarde sigue su curso, y llevado por el desasosiego de un "hackeado novato" me vuelvo a asomar a mi querida página desde el buscador de Google ¡para mi alegría! Volvemos a ser buenos; y los del equipo de Google, mejores: en tan sólo unas pocas horas me han avisado de una infección en mi sitio y me han borrado de la lista negra. ¡Gracias, chicos! Un +1 para vosotros, que aunque dudo que lleguéis a leer estas líneas no quiero dejar de mandaros.

Moraleja: de una forma tan tonta como esta puedes llegar a infectar tu ordenador sin que la página que visitas tenga que ser necesariamente "de dudoso contenido"; basta con que el administrador no esté todo lo despierto que debiera. Que se despertó aún más, cambiando todo el lote de contraseñas de acceso a todos los sitios y servicios.

Un cordial saludo,

Pedro.