abr 16
Soy peligroso
Lo dice Google, con algo de razón.
La explicación simple: alguien con muy mala idea y mucho tiempo libre ha intentado usar mi blog para espiar por qué otras páginas navegan mis lectores. Google se ha dado cuenta y ha puesto mi blog en cuarentena.
La explicación técnica: alguien con muy mala idea y mucho tiempo libre ha aprovechado un agujero de seguridad de WordPress, la herramienta con la que publico este blog, para incrustar un código maligno que redirigía con un iframe a los visitantes de www.escolar.net a otra dirección (http://61.155.8.157/iframe/wp-stats.php; no uses esta URL a no ser que sepas cómo ayudarme) desde la que instalaba un troyano en vuestros ordenadores. Google se ha dado cuenta y ha añadido este blog a una lista negra de sitios peligrosos.
La trampa ha estado funcionando durante algún tiempo -aún no sé cuánto, creo que sólo fue ayer durante unas horas- pero ya está eliminada. Borré el código en cuestión en cuanto supe de él y estoy parcheando WordPress para que no pase más. Os pido mil disculpas por no haberlo descubierto antes.
Si alguno de vosotros me puede ayudar a resolver el problema, le estaré eternamente agradecido. Ya he avisado a Google de que el troyano ya ha sido eliminado, pero su perdón es aún más lento que el de la Iglesia de Roma.
—————–
JRMora lo enfoca con humor | Kriptópolis: la primera piedra
abril 16th, 2008 a las 6:51 pm Vota el comentario:
#99 Jose dice:
Abril 16th, 2008 a las 6:42 pm
¿Le pagais mucho al informático?
abril 16th, 2008 a las 7:05 pm Vota el comentario:
# 101
Lo desconozco. ¿Por qué?
La única solución que me propuso fue formatear e a instalar todo de nuevo, con una alegría que echaba pa’tras (pero yo sólo quiero aguantar este ordenador algunos meses, hasta que acabe la tesis, y pasaba de liarme a instalar, así que me pasé al plan B -y en el sigo-). ¿Crees que le caigo bien al informático o lo de “formatear y reinstalar de nuevo” es un tic profesional indiscriminado?
abril 16th, 2008 a las 7:15 pm Vota el comentario:
Usa Joomla, es muy bueno. – WordPress es bueno también, pero el código de Joomla es fácil y limpio. Con el otro apenas tiene espacio de seguridad para domeñarlo.
abril 16th, 2008 a las 7:22 pm Vota el comentario:
#102
Es porque cuesta menos tiempo y dinero formatear e instalar que perseguir escurridizos problemas por todo el ordenador. Al final no sabes que cosa iba mal, pero el ordenador te va bien. (hasta la próxima). Ademas los problemas de los ordenadores tienen dos causas; los usuarios y microsoft.
abril 16th, 2008 a las 7:37 pm Vota el comentario:
#102 Jose dice:
Abril 16th, 2008 a las 7:05 pm
Salvar los datos, formatear y reinstalar puede llevar un par de horas. Trabajar con un ordenador que va de culo te puede hacer perder muchas horas, mucho trabajo y la paciencia.
Hágale usted caso a su informático, ahorrará tiempo y cabreos.
abril 16th, 2008 a las 7:38 pm Vota el comentario:
JPatache, me voy a poner una boina de aluminio.
abril 16th, 2008 a las 7:43 pm Vota el comentario:
Pues a mí con W XP Y Firefox me saltó el NOD 32, pero creo que eliminó el troyano porque no me ha vuelto salir nada raro y en el scan tampoco lo detectó.
¿Alguien cree que puedo estar infectado y que debo hacer si lo estoy?
Gracias.
abril 16th, 2008 a las 7:46 pm Vota el comentario:
#105
Formatear, reinstalar, instalar las aplicaciones y actualizar el sistema es algo más de 2 horas
abril 16th, 2008 a las 7:48 pm Vota el comentario:
A mí me saltaba la alerta del avast para entrar, para comentar, para votar…¡daba unos sustos chunguísimos, la jodía! Pero sólo me pasó ayer, hoy no he tenido problema. Y eso que yo soy una orza informática de cuidado…no entiendo ni papa de IPs ni de estos tecnicismos que soltais por aquí.
Pienso como Orlando, estaría bien que los más puestos en el tema echaran un cablecillo a Nacho para descubrir de dónde sale este hijoputismo provírico.
Ah! y los del linux…¡qué chuletas pedantes que sois, coñe!!
abril 16th, 2008 a las 7:48 pm Vota el comentario:
#106
El malvado malware que pulula por mi ordenador es heuristico y me permite plagiar los comentarios que no se han hecho. Benditos piratas ciberneticos
abril 16th, 2008 a las 7:57 pm Vota el comentario:
Yo voy a optar por la versión anterior de firefox que no daba por saco con chorradas de esas. Y la colección de porno vintage y classic (joyas de Jess Franco, Marc Dorcel y Mario Salieri) años 70 y 80 la tengo en un disco externo, así que no se puede perder.
Y el número de tarjeta y de cuenta que uso para internet lo puedo poner en tos laos, que tengo seguro de fraudes y no guardo en ella los ahorrillos ni las claves de la cuenta de George Town.
abril 16th, 2008 a las 8:00 pm Vota el comentario:
#110 JPatache dice:
Abril 16th, 2008 a las 7:48 pm
Mientras ustez escribía me lo dictaba telespásticamente.
abril 16th, 2008 a las 8:12 pm Vota el comentario:
con Linux, ni me enteré!
abril 16th, 2008 a las 8:15 pm Vota el comentario:
[...] Para los que no acaban de entender esto, la mejor explicación, la de Nacho Escolar [...]
abril 16th, 2008 a las 8:20 pm Vota el comentario:
111, Natox, apunta:
http://joy-scape.com/CinemaParadiso/
abril 16th, 2008 a las 8:34 pm Vota el comentario:
Utilizo Avast Antivirus y ayer me detectó un intento de intrusión al entrar en el blog.
Utilizo firefox sobre vista, y acabo de instalar “pa por sea caso” el mozilla no-script.
abril 16th, 2008 a las 8:43 pm Vota el comentario:
#103 Joomla es un coladero, casi todos los problemas de hack que he tenido ultimamente son consecuencia de Joomlas, al final Joomla o WordPress toca hacer unas cuantas modificaciones a mano para que resulte mas dificil hackearlo.
abril 16th, 2008 a las 8:43 pm Vota el comentario:
#107
Si el scan no detecta nada no debería haber problema.
De todas formas si alguien se dedica a navegar con windows sin un antivirus en condiciones, un cortafuegos decente (no el de windows, obviously) y un antispyware, su menor problema sería el troyano del blog de Nacho.
abril 16th, 2008 a las 8:54 pm Vota el comentario:
A mi ma pitao en un notebook (con avast), no me ha pitao en un PC con el mismo (avast), no ma pitao en un cel pero otro explotaba. En el curro no ha pitao na. En fin que vivimos peligrosamente.
Me sorprende que haya pitao en el notebook sinceramente…
Los que testan dicen que NOD es un antivirus, lusotros no se sabe bien…
Entre muertos y heridos quedamos los de siempre.
Jose si le pasas cinco antivirus online al Norton siempre te va pitar, es una saco firmas. Te das cuen?
abril 16th, 2008 a las 9:02 pm Vota el comentario:
#114 JRMora, tío, creo que sería recomendable que fueras tú el primero en leer la explicación de Nacho que recomiendas y luego revises tu titular a la luz de lo que seas capaz de entender. Qué tendrá que ver la supuesta “fachez” del google con que hayan infiltrado un gusano en el blog y el buscador avise del peligro
abril 16th, 2008 a las 9:19 pm Vota el comentario:
Pues a mí me parece un buen chiste. Fundamentalmente porque incomoda: nadie está contento con él. Pero no es más que eso, el doble juego con la interpretación que rápidamente hace la peña cuando está politizada en extremo. Las reacciones demuestran a mi juicio que es muy acertado.
abril 16th, 2008 a las 9:37 pm Vota el comentario:
soy un tipo chungo. mi google no me pilla la pagina
abril 16th, 2008 a las 9:44 pm Vota el comentario:
Aquí nunca viene ningún español de bien.
abril 16th, 2008 a las 9:47 pm Vota el comentario:
Google crispa y eso es evidente, ya deberían haber retirado el mensaje de la búsqueda.
Es sólo un chiste, no creo que se le pueda llamar titular.
Aunque si se enfadan los de Google prometo pedirles disculpas públicas.
abril 16th, 2008 a las 10:29 pm Vota el comentario:
Es verdad, el Nod daba el aviso.
abril 16th, 2008 a las 11:45 pm Vota el comentario:
Uyuyuy qué mal rollito me está dando…
Yo uso Norton Antivirus, perfectamente legal (el que venía instalado de serie en el ordenata), con suscripción renovada hace menos de un mes y actualizándose… y no me ha dicho nada. Pero nada de nada, ni “cuidadín que hay un troyano” ni ninguna clase de aviso. O sea, que o no me entró (me extraña, estuve conectándome y comentando mientras a los demás les saltaban los antivirus), o no lo detectó y me lo han colado. Claro que de momento no está pasando nada extraño… todavía. ¿Alguien sabe qué es lo más probable?
abril 17th, 2008 a las 12:00 am Vota el comentario:
#126 Darth
Que te lo haya bloqueado sin avisar.
abril 17th, 2008 a las 12:05 am Vota el comentario:
[...] » noticia original [...]
abril 17th, 2008 a las 12:15 am Vota el comentario:
El iframe este, estaba metido dentro del código php? o en la base de datos. Yo una vez lo tuve, y se me metió al final del código, en el archivo index.php o login.php.
abril 17th, 2008 a las 12:35 am Vota el comentario:
#126 Darth (usuario registrado)
Mi antivirus lo detectó pero no me avisó y parece que lo bloqueó(espero). Avisarte o no depende del nivel de alerta que tengas en el antivirus, por defecto suele ser nivel medio que avisa algunas veces y no otras. El problema no es que te metan un virus, sino que puedan manejarte el ordenador, ver contraseñas, claves… y no sé que tal los programas antivirus están preparados para controlar eso, espero que bien.
El tema por lo poco que he leido es algo asì como que quien hace estas cosas redirige a una pñagina clon de escolar.net p.ej y de ahí entra al ordenador. Es ësta la página de escolar.net?
Mi teclado espa´ñol de windows se ha vuelto loco, no sé si esto ayuda a quitar el mal rollito.
Yo les voy a preguntar a la gente de mi antivirus si pueden saber algo mñas.
abril 17th, 2008 a las 12:52 am Vota el comentario:
[...] y que vive del medio no puede permitirse el lujo de descuidar su lugar de trabajo, que es su blog. Escolar lo ha hecho, y el resultado es que algún visitante malintencionado ha introducido un frame en su blog, [...]
abril 17th, 2008 a las 12:52 am Vota el comentario:
Vamos a ver, ¿a nadie se le ha ocurrido pararse a pensar en la maravilla de ingeniería del software que supone parir un programa tan eficiente y eficaz como el virus/troyano en cuestión?
Es maravilloso.
Y sí: si te entra el virus, es por tu culpa.
abril 17th, 2008 a las 1:02 am Vota el comentario:
En este grupo de Google ayudan al respecto. Google tardará 3-4 días máximo en quitarle la advertencia al blog:
http://groups.google.com/group/stopbadware
abril 17th, 2008 a las 1:20 am Vota el comentario:
me encantan los comentarios de OYE yo no se de wordpres pero… mirate esto
o WP es una mierda ponte JOOMBLA o phpnUke
o formateate el ordenador…
¡VENGA A VER QUIEN LO SUELTA MAS GRANDE!
a ver si no tenéis ni idea ¿pq abris la boca? solo generáis ruido ¡3 putas paginas de ruido y comentarios idiotas!
vamos ha hacer el royo chikiricuate
1 el brikindance
o el upgrade!
bájate el nuevo wp 2.5 de aquí
http://codex.wordpress.org/Upgrading_WordPress
2. leete como upgradear de wp2.2 a wp2.5
muy fácil
http://codex.wordpress.org/Upgrading_WordPress
(solo has de subir ficheros del rar por ftp MENOS el wp-config.php que ahí vienen todo los datos d la bbdd ah! y haz una copia de la base de datos por si acaso)
3. luego de subir vas a http://www.escolar.net/wp-admin/upgrade.php par que todo cuadre
4. solicita a Google la revisión del blog para que le quite la advertencia.
En Inglés, se explica todo en este grupo de Google:
groups.google.com/group/stopbadware
y wuala
abril 17th, 2008 a las 1:20 am Vota el comentario:
lo que eres es un payaso
abril 17th, 2008 a las 1:44 am Vota el comentario:
#134 va por mi o por nacho?
(que vaya x mii x favooor)
#86:
#84: ¿Por qué usar “frame”, cuando en castellano existe la bella palabra “marco”?
xDDD
haix mamacita me partoo
enserio.. hablas enserio?
no sera… ¿pq se esta hablando EN JERGA DE PROGRAMACION HTML?
hay mama
voy ha hacer un i-marco en un cafe escrip xD
a partir todos a escribir html en perfecto castellano
centrado
fuente tamaño=”2″ color=”negro” familia=”verdana” “hola voy de listo” /fuente
imagen origen=”tonolaba.jpg” altura=”232″ anchura=”213″ bordillo=”0″ /centrado
diosmio
de donde salis?
abril 17th, 2008 a las 2:08 am Vota el comentario:
Lo siento por no leerme todos los comentarios, pero en cuanto hayas hecho los que dice #133 bgta, pasa de pedir la revisión a Google y pídela directamente a StopBadware. Sigue los links de la busqueda en Google de “escolar” y hazlo en su página, te digo por experiencia que es más rápido que hacerlo directamente con Google.
abril 17th, 2008 a las 2:21 am Vota el comentario:
#137
Lo siento por no leerme todos los comentarios—
yo si lo hice y ,dios mio aun me sangran los ojos,
no vale la pena
había uno que no se por que (supongo que creía que para ayudar a solventar un problema) describía una infección en su MAQUINA LOCAL (EL PC DE CASA) por sobrecalentamiento y por tenerlo llena de mierdas
(supongo que se cree que el pc de la oficina de nacho donde juega al buscaminas y usa el office es dodne va el blog)
señores! busquen en wikipedia: servidor, hosting, cms…
hasta uno que se quejaba que en html se usara la palabra frame en lugar de marco ¡con lo bonita y sonora que es la palabra MARCO!
y luego todo de comentarios estúpidos sobre “con este antivirus me saltaba la alarma, tu! el mejOooor antivirus es este y el que diga lo contrario es tonto”
yo no se que pasa últimamente en Internet
es que dan conexiones gratis si demuestras que eres retrasado en general y encima te gusta demostrarlo en todos los lados?
abril 17th, 2008 a las 2:23 am Vota el comentario:
#126
Es verdad. El avast le tengo en casa y fue creo que a eso de las 15:00 cuando me saltaba la alerta. Por la tarde, en el de la oficina del pariente, que tiene Norton antibichos, no tuve problemas…ahora que caigo. No sé si quizá sea porque ya estaba solucionado el problema o porque, dependiendo del antivirus que tenga el compiuter instalado, estés más o menos expuesto…
Hoygan! lo que se aprende aquí, además de las múltiples caras de un mismo troll!
Me voy a la piltra, que salgo pa los Madriles in 3 hours!
abril 17th, 2008 a las 2:23 am Vota el comentario:
No sé bgta a mi el upgradear ese no me mola, ahora un tunear cumulativo, un me voy pal – # versión. xxx- o un has soltao la mierda esa tienen mucho más castellano que las bicis en verano.
Todo sea por Eggpanha!!!
abril 17th, 2008 a las 2:25 am Vota el comentario:
Haaaalaaaaa! con tol leísmo burgalés!! “El avast lo tengo en casa”
Creo…ya estoy dudando…como siempre…
abril 17th, 2008 a las 2:28 am Vota el comentario:
#138
Y a ti te afecta mucho bgta? Tas cansao de ganarte la vida con el soporte tres?
abril 17th, 2008 a las 2:31 am Vota el comentario:
bgta?
abril 17th, 2008 a las 2:33 am Vota el comentario:
Y gracias a JRMora.
XDDDDDDDDDDDDDDDDDDDDDDD
abril 17th, 2008 a las 2:46 am Vota el comentario:
#143 que pasa ¿quieres que te ponga la webcam o algo?
abril 17th, 2008 a las 3:08 am Vota el comentario:
En realidad sí, que me pongas la webcam y me instales los juguetes nuevos, no te importa verdaz?
abril 17th, 2008 a las 3:12 am Vota el comentario:
#146 aver empezado por ahí! ¿tienes msng? :$
Nacho link directo a stopbadware para que revisen tu caso y quiten el mensaje en google
http://www.stopbadware.org/home/review?reviewid=927121
abril 17th, 2008 a las 3:17 am Vota el comentario:
@bgta No me los he leído por que viendo el tuyo me imaginaba lo que venía (“me encantan los comentarios de OYE yo no se de wordpres pero… mirate esto”).
Y la verdad, +100 comentarios chorras paso. Si por lo menos fuera una discusión que enseñara algo…
En cuanto a esto de PM, pero que primero lo arregle no? El o quién sea, pero primero que limpie y actualice.
Y si, es lo malo de la democracia y el web 2.0 (y ambos me gustan): todo dios puede opinar aunque no tenga ni puta idea de lo que habla, el precio de las libertades
abril 17th, 2008 a las 3:25 am Vota el comentario:
Gracias gente, lentos pero seguros.
abril 17th, 2008 a las 3:34 am Vota el comentario:
#148 SI.. creo que en stopbadware le van a tirar para atrás su reclamación si ven que no ha actualizado el blog
por lo que veo se incluyo el iframe con el malware(i-cuadro para el amigo #86) en el template rojo del blog y el “parcheo del blog” ha sido simplemente en quitar el link a ese template)
a ver si nacho tiene un tiempo si no van a metersela dobla de nuevo
(y como se indica en kyrptopolis no se ha de ser muy “listo” metiendo xploit wordpress 2.2 en google te salen varias formas de joder el blog de nuevo)
yo tmb adoro la e-democracy (estoy meitod en royos de ecd hacktivismo y mierdas asina) y la web2.0 pero al gente olvida facilmente que antes de todo eso habia:…
¡¡¡ la netiqueta !!!
abril 17th, 2008 a las 3:41 am Vota el comentario:
#150
Qué tiempos aquellos! La netiqueta… y parece que fué ayer.
abril 17th, 2008 a las 4:57 am Vota el comentario:
Hace un tiempo lei un articulo sobre los riesgos de los webmasters, esta muy bueno y aporta un par de enlaces para lograr sacar nuestras webs de estas listas negras.
http://segu-info.com.ar/cruzada/consejo-15.html
Espero le sea de utilidad.
abril 17th, 2008 a las 7:49 am Vota el comentario:
Pues siento decirte que la bromita ha estado funcionando, al menos, un día más (creo que dos). En casa el kaspersky me saltó enseguida; en Guadalinex, con firefox sin adblock ni nada se ha visto la página sin problema
abril 17th, 2008 a las 8:08 am Vota el comentario:
Lo que eres es imbécil. Las actualizaciones y los avisos de seguridad están para algo.
abril 17th, 2008 a las 9:02 am Vota el comentario:
Paco, eres un maleducado. Aunque sepas mucho y crea que tienes razón, no tienes ningún derecho a insultar a nadie. Me doy por aludido, yo como Escolar, uso el computador y no tengo tiempo de estar leyéndome las miles de alertas y actualizaciones y mucho menos hacerlas.
abril 17th, 2008 a las 9:35 am Vota el comentario:
Las actualizaciones de un software es como pasar la ITV del automóvil o las revisiones cada X kilómetros o años, no puedes pretender que se te estropee y encima quejarte, las cosas están para cuidarlas y las actualizaciones de wordpress no es que salgan cada día como para quejarse.
abril 17th, 2008 a las 11:18 am Vota el comentario:
Quicir, otra cosa no, pero expertos en submarinos nucleares, por quintales se cogen en este foro, y eso que la toñá este año ha sio mu mala, un tiempo mu seco, ¡ cojones con los virus y las toses perrunas!
abril 18th, 2008 a las 12:02 am Vota el comentario:
Aún sigue la cuarentena, busco en google y me salía eso, y no me dejaba entrar, así que me ha tocado teclear en la barra de direcciones
abril 18th, 2008 a las 4:30 am Vota el comentario:
Pide consejeria en los foros de wordpress usualmente saben que hacer, inscribete a wordpress para aviso cuando llegan las actualizaciones.
Saludos!
abril 18th, 2008 a las 9:57 am Vota el comentario:
En estos momemotos google ya no da el aviso de peligro
abril 18th, 2008 a las 10:11 am Vota el comentario:
Tampoco es cuestion de insultar al Sr. Escolar. El no es informatico de profesión sino periodista y, por tanto, no tiene porque estar al dia de parches, actualizaciones y agujeros de seguridad. Esto es criminalizar a la victima, pues Escolar es una victima mas, mientras nos olvidamos que el verdadero responsable es el delincuente que infecto el blog.
Un poco de seriedad, por favor…
abril 18th, 2008 a las 10:23 am Vota el comentario:
@Tomás: entonces si hay epidemia de gripe y no te pones la vacuna la culpa es de la gripe, ¿no?
abril 18th, 2008 a las 10:50 am Vota el comentario:
Diferenciemos el insulto de la búsqueda de un culpable.
¡Que ganas de buscar un culpable! ¿Tu estás vacunado de todo? Está claro que hay comportamientos de riesgo, pero uno no puede saberlo todo. Yo recibo una 20 de alertas de vulnerabilidades al día, y las filtran, aquí hay un pavo que su trabajo es instalar parches todo el día. ¿Tu haces eso también? No puedes actualizar software automáticamente así como así, se te tapan los parches pero te dejan de funcionar otras cosas. Es un trabajo complejo.
abril 18th, 2008 a las 11:40 am Vota el comentario:
[...] maliciosos. Funciona realmente. Lo hemos podido ver con el asunto de escolar.net, que finalmente si era un sitio malicioso realmente ya que un atacante introdujo gracias a una vulnerabilidad de WordPress código [...]
abril 18th, 2008 a las 12:18 pm Vota el comentario:
La página tiene varios troyanos para instalar, pero la manera de hacerlo es siempre la misma.
Cambia una entrada en el registro que es exactamente esta
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SoundMan = ”C:\WINDOWS\system32\SOUNDMAN.EXE”
abril 18th, 2008 a las 6:39 pm Vota el comentario:
Apartando que si, que mas que un tirón de orejas es una buena ocasión para reflexionar sobre la casi imposible, pero no por ello menos necesaria, tarea de estar siempre al pie del cañon de las actualizaciones, alertas y demás, creo que sería bueno que pusieses un poco mas de información – especialmente datos sobre que spyware/malware/yo que se en específico se supone que estaba sirviendo este blog, que métodos de infección estaba usando, que navegadores eran vulnerables, etc.
Probablemente no tengas toda, pero la que tengas ayude a sacarme la paranoia y buscar bien como revisar si el PC del curro está haciendo algo rarillo por la red de la ofi
mayo 11th, 2008 a las 10:12 pm Vota el comentario:
[...] usaste para crear el sitio (CMS, script en PHP hecho por vos) que permita inyecci
mayo 26th, 2008 a las 3:31 am Vota el comentario:
[...] es por ejemplo lo que ocurrió a Nacho Escolar en su blog ‘escolar.net’ hace unas semanas. Alguien había aprovechado un agujero de [...]
julio 14th, 2008 a las 9:02 am Vota el comentario:
[...] es por ejemplo lo que le ocurrió a Nacho Escolar en su blog ‘escolar.net’ hace unas semanas. Alguien había aprovechado un agujero de [...]
agosto 26th, 2008 a las 11:19 pm Vota el comentario:
[...] es por ejemplo lo que ocurrió a Nacho Escolar en su blog ‘escolar.net’ hace unas semanas. Alguien había aprovechado un agujero de [...]