El enigma de google, la viagra y mi wordpress resuelto

EnglishFrenchGermanItalianPortugueseRussianSpanish

Así funciona la Red, ayer me escribió este correo Roberto Romero que trabaja con mi hermano Guillermo en el proyecto RailsConta y me dió algunas pistas sobre como resolver el enigma.Os he adjuntado el correo por que se merece el crédito de la solución.

Al final los enlaces que me envió no fueron la solución final pero resolvió cual era el mecanismo utilizado. Descubrí que había un remv.php que me metierón en una versión antigua de wordpress y con este modificaban los contenidos para colocar el troyano que solo sacaba el spam cuando le visitaba un bot de google.

Eliminé el fichero, realmente lo guardé por si alguien le apetece analizarlo porque yo no tengo tiempo ni de coña para hacerlo y actualicé wordpress a la última versión y han desaparecido el spam. En la solución que mandó Roberto viene mucha información de como comprobar si eres una victima de algo parecido y el enlace a una página que cuenta los detalles para descubrir si hay cosas raras en tu wordpress. La recomendación es clara: instalaté el pluging para wordpress de actualización instantanea y en un solo click y no bajes la guardia que si no te conviertes en un impulsor y nunca mejor dicho, de la lucha contra la impotencia 😉

Por cierto algunos no ponen SPAM te cambian el código de adsense y se suman ellos los clicks. Con lo que tardan en pagar los chicos de google adsense da de sobra para desenmascararlos.

Muchas Gracias Roberto!!!!!

Hola,
Soy Roberto, creo que me conoces de oídas, estoy trabajando con tu hermano,
Guillermo.

Te escribo este correo porque, leyendo tu weblog, he llegado a un post en el
cual comentas que has observado que aparecen entradas en google de tu weblog,
asociadas a la palabra viagra. Cuentas en él que no puedes ver ninguno de los
enlaces.

He revisado el weblog, y he encontrado que, en efecto, está infectado. No
puedes ver los enlaces (que aparecen al final de la página, dentro de un div
con id “_wp_footer”) porque, para verlos es preciso identificarse con el agente
de usuario de los bots de google (Googlebot/2.1
(+http://www.googlebot.com/bot.html)) y con el javascript desactivado.

Puedes comprobarlo tú mismo, ejecutando lo siguiente:
curl –no-sessionid –user-agent “Googlebot/2.1
(+http://www.googlebot.com/bot.html)” http://www.juantomas.net | less

Verás que al final, aparecen los enlaces de spam.

Parece ser que le está pasando a bastante gente. Me he puesto a buscar en
google y he encontrado una página con indicaciones para arreglarlo:
http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-
hidden-spam-link-injection/

Saludos,

Social Share Counters

3 Comments »

  1. Versvs Said,

    January 27, 2009 @ 5:37 pm

    ¿Ves? Al final era lo del bug de WP que metían el spam como yo decía, lo que sucede es que yo soy un patata ignorante sin conocimientos téjnicos 😀

    Me alegro que entre los dos lo hayáis solucionao : )

  2. Pascal Chevrel Said,

    January 27, 2009 @ 6:28 pm

    pasate a Dotclear 🙂
    http://dotclear.org/

  3. juantomas Said,

    January 27, 2009 @ 7:36 pm

    Es que estaba c*br*n encontrarlo. El código está encriptado y se desencripta cuando se ejecuta. Vamos que no ha sido trivial pillarlos. La buena noticia es que haciendo bien las cosas que es actualizando las versiones con frecuencia y dandole un poco de cariño los sistemas ganan mucho.

RSS feed for comments on this post · TrackBack URI

Leave a Comment