Un caluroso día de Agosto, una de la tarde, terracita, piscina, Cruzcampo muy muy fría...suena el movil. Un cliente me dice que su web tiene un troyano..le digo que será cosa del antivirus...otra llamada, otro cliente, la cosa se pone seria.
Acudo a mi ordenador, todas mis webs son bloqueadas por el antivirus y no las deja cargar, me sale un mensaje que me pone la Cruzcampo de corbata, "Ataque de vulnerabilidad Blackhole Exploit Kit" Type(xxxx). Había oído hablar, pero no sabía nada de el por lo que me puse a investigar.
¿Que es? La verdad es que este artículo lo explica bastante bien.
http://mipistus.blogspot.com.es/2011/08/black-hole-exploit-kit-110-inside.html
O sea, un troyano que alguien inserta en tu ordenador, y que además de tener acceso al mismo, obtiene acceso a las cuentas de FTP, o sea, a tus webs, para jaquearlas, o para insertarle malware.
AVG no lo detecta y ningún antivirus, tienes que tener un buen programa Malware y pasarlo de vez en cuando, a mi Lavasoft ya me lo ha vuelto a detectar y bloquear varias veces, después de haberlo eliminado.
¿Que hacer?
Bien, lo primero que hay que hacer es cambiar TODAS las contraseñas, desde la de tu servidor hasta la cuenta de Badoo. (Si, se que teneis Badoo, el caso es, has foll..., perdón, que me voy del tema).
Lo que no hay que hacer, es pedir ayuda a tu servicio de hosting, perderás el tiempo ya que es un código que tú has insertado en el servidor.
Acto seguiro contaré lo que YO hice, supongo que habrá gente que lo haría de otra manera.
Después de cambiar todas mis contraseñas, bajé todas mis webs del servidor, en sus respectivas carpetas en local o en una carpeta nueva. Y borré todo el contenido del mismo. (Solo los de la carpeta www o public_html, los otros no hace falta... espero).
Una vez descargados, le pase tres clases de programas antivirus y antimalware.
Lavasoft, AVG y Antimalware Bytes. Limpié no solo las carpetas, sino todo mi ordenador. Después también limpié los registros con CCleaner.
A los que tengan Adobe pirata, que yo no lo tengo, iros despidiendo porque eliminarán cualquier tipo de crack.
A los que tengais páginas hechas en CMS (Joomla, Prestashop) .....
Eliminé todo el código que me puso como malicioso o lo puse en cuarentena. Después fui uno a uno quitándo todos los <iframes> de las webs antiguas de mi servidor y revisando los Javascript que me habían señalado los antivirus.
Volví a subir todos los archivos, no tuve ningún problema con las bases de datos.... y bueno, hasta ahora no he vuelto a tener el problema.
Después, último paso que todavía no he hecho, pero que es el más fundamental de todos, y que haré en cuanto tenga un hueco, instalar Ubuntu en mi ordenador o ahorrar para comprarme un Macbook.
Espero lo hayais entendido todo, es facil, pero un verdadero coñazo. Un saludo.
