Ojo, porque pulsando este enlace es probable que vayáis a parar a la misma estafa que yo. Entrad en la zona de enlaces externos de este artículo de Wikipedia: https://es.wikipedia.org/wiki/Teor%C3%ADas_de_la_conspiraci%C3%B3n_del_11M#Enlaces_externos Pulsad donde pone "peonesnegros Página oficial del Equipo Independiente de Apoyo. Peones Negros. A Favor, condicionado."
Esto os puede llevar a dos sitios distintos:
1.- El sitio web normal: https://peonesnegroslibres.com/
Os quería preguntar donde creeis que se produce la bifurcación del tráfico. ¿Tengo malware? ¿El sitio web está infectado? ¿Es a nivel de DNS?
Para los que habéis pulsado el enlace de la página de Wikipedia, por favor, responded aquí si os ha llevado a la página normal, a la de la estafa o a otra: @J.Kraken
Comentarios
La web esa de los peones esta comprometida. Lo veo 100 veces al dia. Muestra la pagina de estafa aleatoriamente (o segun oscuros criterios que conocen ellos, probablemente 1 vez al dia por combinacion de IPs/cookies distintas).
Si tienes un bloqueador de publicidad probablemente ni te deje cargarla.
Edit2: veo que es un Wordpress ... blanco y en botella
Edit3: podria ser peor, podria ser un Joomla
#9 ¡Gracias! Yo tengo la misma impresión. Ya me he puesto en contacto con ellos para avisarles. Me lo han agradecido y me han dicho que lo van a mirar esta tarde.
#10 Has de mantenernos actualizados con la info
#13 #9 Eso haré. 👍 Les comentaré vuestras conclusiones a ver si eso les puede ayudar a solucionarlo. Y ya os diré la respuesta.
#13 #9 Ya le dije al administrador nuestras conclusiones y me respondió esto:
"...Gracias en la primera prueba me ha mandado a la encuesta pero luego no me he vuelto a mandar más y en Wikipedia he cambiado el enlace poniendo un enlace securizado qué es mejor y voy a comprobar todos los plugins y añadir uno de seguridad y comprobar los directorios que están fuera de WordPress porque creo que haya y ficheros PHP que no son del sistema propio sino un gol que nos han metido.
Gracias!..."
Y yo le he contestado:
"De nada. Si localizas el codigo malicioso te agradecería que me lo enviaras para que la gente del foro de seguridad lo analizase, y ver si se puede sacar algún dato del atacante."
Ya os iré contando...
#19 Un listado recursivo ordenado por fecha de modificacion es lo que suelo hacer yo para librarme de esas cosas. Los scripts que los borre directamente, no se suele sacar nada util de ahi.
Ah!!. Despues de localizar el codigo malicioso que actualice el WP y todos los plugins!!! ... y le deseo suerte para que le colaran el ataque por algun sitio que tenga parche ... a veces (muchisimas veces) alguien hace un plugin para algo y ahi se queda para siempre con su bug chungo.
#20 Se lo diré. 👍
#8 Sí, es un WordPress y hay muchos (muchísimos), así que compensa explotar las vulnerabilidades conocidas masivamente, de un modo automático. Además, se construyen por módulos no revisados y cada módulo añadido aumenta las vulnerabilidades expuestas.
Quizás
seguramenteno esté comprometido el servidor en si (no podrán acceder a otros dominios, etcétera), pero sí el software (WP) que está corriendo ese blog.Mi apuesta es a que han sido víctimas de un ataque automatizado y han conseguido que redirija a un servidor de spam una vez por IP y día/cookies/..., como comenta #9. Me suelo encontrar ataques menos refinados, esa restricción a la hora de redirigir está bien pensada para que no cante.
Gracias a
ecam por responderme en nótame. @ecam Gracias a eso descarto que el problema sea solo en mi dispositivo.
La primera vez que he entrado, me ha saltado la redirección a la página falsa. Pero he sido incapaz de volver a reproducir ese comportamiento hasta que no he cambiado de IP, aún borrando cookies y demás. El anuncio que salta, además, es distinto según la geolocalización que hayan hecho de la IP.
¿Al resto os ha pasado exclusivamente también con la primera visita?. En ese caso sí que calificaría como plausible la hipótesis de que hay un script que comprueba si es el primer acceso para hacer la redirección. De ser así, parece una estrategia para mantener las páginas comprometidas sin llamar demasiado la atención: si redirigen siempre, tus usuarios te avisan y lo arreglas. Si es sólo una vez... piensas que ha sido cualquier otra cosa y no la relacionas con la web.
Si fuera a nivel de DNS... no me encaja con este comportamiento; hasta donde yo sé, las respuestas a las peticiones DNS se cachean y el resultado debería ser el mismo salvo que forzases la repregunta.
El blog es un WP... Sería mi principal sospechoso. Puede estar comprometido o puede ser un comportamiento hecho adrede para monetizar (sería extraño, porque está actualizada, pero a saber...).
Sería útil tener los datos de si pasa entrando directamente la URL en lugar de por el enlace de la wikipedia.
Lo siento, pero me tengo que ir, luego leo los avances que hayáis hecho, que me interesa. Pero huele a JavaScript o PHP del WP.
¡Gracias por avisarme!
#6 Estoy de acuerdo en todo. He pensado en que podrían usar el htacces.txt, pero claro, entonces no podrían discriminar por IP. Entonces solo queda efectivamente Javascript o PHP. Supongo que encontrar dónde está exactamente el código modificado es buscar una aguja en un pajar. Imagino que lo que les renta a los propietarios del sitio, es hacer una copia de seguridad y borrarlo todo. Y luego volver a instalar quitando todos los complementos de WP. Y si los atacantes vuelven a entrar, usar uno de esos complementos de WP que manteniendo WP como CMS, lo que sirven es una versión estática y por tanto eliminan el PHP y las brechas de las extensiones.
#14 Uf, no sé si sería tan fácil. Una vez que comprometen el sitio suelen meterte el código malicioso ofuscado en la base de datos, entre entradas legítimas, de modo que aunque te limitases a copiar las tablas de la bbdd que contuviesen los contenidos de la web en una instalación fresca, te estarías llevando contigo el compromiso. Lo mismo para los generadores de contenido estático.
Ten en cuenta que la lógica de guardar la IP y demás no tiene porque estar alojada en el servidor del blog; basta con que llame a otro script que decida si hacer el redireccionamiento o no.
Yo buscaría la causa, me iría a buscar la última copia de seguridad en la que no estaba presente y de ahí sacaría los contenidos de la web a una instalación fresca, sin módulos. Replicaría los restantes desde la última copia de seguridad sana 'a mano' y pondría mil ojos a vigilar todas las conexiones que hace. Y no estaría ni mucho menos seguro de haber solucionado el problema.
#15 Madre mía. Menudo colador el WP. Se lo diré.
#6 "puede ser un comportamiento hecho adrede para monetizar (sería extraño, porque está actualizada, pero a saber...)."
Sería un poco raro sí, porque aunque monetizasen algo, su imagen está siendo dañada. Tarde o temprano iban a ser descubiertos. Y encima luego tendrían que cargar con la responsabilidad del fraude. Desde luego si fuesen los propietarios de la página los responsables de la estafa, no les veo recorrido como ciberdelincuentes.
#3 Firefox en el móvil, tengo el ublock.
A mi me ha ido normal.
#2 Genial. Gracias. Parece que con algunos navegadores como Opera el ataque es más probable. ¿Tú usas Chrome, Firefox, Edge...?
#3 Mm, no he tenido esa sensación, lo he conseguido con todos* en modo incógnito.
* Chrome, chromium, firefox y edge.
#7 Sí, parece que no tenga que ver con el navegador. ¿Cómo crees que consiguen bifurcar el tráfico? Lo más lógico parece que el servidor del dominio en cuestión esté comprometido, ¿no?
Lo acabo de probar, me salta al enlace falso pero uBlock Origin lo intercepta.
Quizá
ochoceros@a1984 ó
fredy puedan arrojar algo de luz. Tenéis más información en los comentarios de la encuesta en el nótame.
No soy un experto, pero está claro que no es sólo mi dispositivo el afectado. Se me hace raro que de alguna manera pueda ser un ataque a nivel de DNS. Si no es así, supongo que solo queda que el servidor del dominio oficial este siendo controlado por los estafadores.