Hace algunas horas al ingresar al blog de un amigo, Telemprendedores, en busca de información me encontré con que era redireccionado hacia la página de un falso antivirus, luego de comentarle lo que sucedía empecé a mirar el código fuente en busca de algún código extraño, generalmente los atacantes agregan scripts en las páginas o realizan redirecciones desde el htaccess.
Al principio no encontré nada raro, pero una linea que aparecía al final de cada post me parecía sospechosa:
Al googlearla me encontré con un aviso de seguridad de Godaddy publicado hoy 23 de diciembre, los atacantes lograron comprometer las bases de datos de muchos de sus clientes afectando a sitios creados con WordPress, Joomla y Drupal.
El contenido del script es el siguiente:
Eliminar el código no es tan sencillo, se puede hacer post por post o directamente desde la base de datos, esto último es lo que Godaddy está haciendo.
Si tu blog está con problemas y no lo puedes solucionar, mientras Godaddy arregla todo no es mala idea poner el sitio en mantenimiento.
Lo que están propagando son troyanos que instalan falsos antivirus, 16/43. Por último mencionar que Telemprendedores ya está limpio y seguro :)
Ver también:
El negocio de los falsos antivirus.
Hace unos dias encontre algo parecido en un diario y mande un mail avisando, pero a diferencia de Telemprendedores, no respondieron y todo sigue igual :(
http://evidenciasecurity.blogspot.com/2010/12/malware-en-las-noticias.html
El panel de godaddy es horrible si, CERO usabilidad
Yo me tranco en el panel, simpre me demora en cargar :)
De terror, nunca confié en el soporte de Godaddy para hosting, además me desespera su soporte multinivel que demoran 12hs en llegar al que resuelve mi duda ya que por lo general no me tranco por boludeces :P