Buenas,
pues lo que veis. De casualidad esta mañana quería ver unas cosas que tenía ahí y me redirigía a una página donde intentaban que instalase un "Antivirus 2009" que, por lo que veo, es un virus que está dando mucha guerra en simulacros de sistemas operativos.
Tras el primer repaso al servidor he visto que el .htaccess había sido modificado el día 7 con un
Redirect 301 / http://web-lider.org/stats/go.php?sid=16
aunque lo que aparece en la url a donde llega al final es
http://best-anti-virus-scanner.com/2009/1/en/_freescan.php?nu=880801
Lo he sustituido por la última copia de seguridad, pero entonces lo que aparecía era una página con una especie de file manager o gestor de ficheros desde donde se podía acceder a los ficheros en el disco y ejecutar comandos sobre ellos.
Aquí ya he dado parte al servicio técnico que, aunque rápido, tampoco es que haya sido de mucha ayuda. Me han dicho que borrase todo lo que había, incluyendo la base de datos, y que recuperase las copias de seguridad.
Al recuperar la copia de los ficheros seguía el problema. Se ha corregido tras borrar la base de datos y volver a cargarla con la copia.
Los .htaccess estaban con permisos 666 por la dichosa configuración de Wordpress, que entiendo que si no se van a hacer más cambios en la misma, una vez actualizado se puede volver a poner como 644, cosa que ya he hecho en todas las páginas. por cierto, la única infectada era la mía. Que, por otra parte, tiene la versión más reciente de WP de todas, aunque no la última.
Lo mosqueante es como acceden a la base de datos. El del servicio técnico me dice que ponga un password muy complicado y que lo resetee, pero es que Wordpress genera uno de esos ilegibles. Y que actualice las versiones. Pero ya os he comentado que actualizar WP o SMF es un sufrimiento por los problemas que dan debido a los juegos de caracteres. Y que se necesita mucho tiempo libre para eso.
También me ha extrañado que he buscado por los conceptos mencionados en google y en el buscador de wordpress.org y, o no atino con las palabras de búsqueda, o he sido de los primeros en estrenar dicho ataque. Me inclino más por lo primero.
Bueno, que lo sepáis.
Saludos,
Colegota