Hace algunas horas al ingresar al blog de un amigo, Telemprendedores, en busca de información me encontré con que era redireccionado hacia la página de un falso antivirus, luego de comentarle lo que sucedía empecé a mirar el código fuente en busca de algún código extraño, generalmente los atacantes agregan scripts en las páginas o realizan redirecciones desde el htaccess.
Al principio no encontré nada raro, pero una linea que aparecía al final de cada post me parecía sospechosa:
Al googlearla me encontré con un aviso de seguridad de Godaddy publicado hoy 23 de diciembre, los atacantes lograron comprometer las bases de datos de muchos de sus clientes afectando a sitios creados con WordPress, Joomla y Drupal.
El contenido del script es el siguiente:
Eliminar el código no es tan sencillo, se puede hacer post por post o directamente desde la base de datos, esto último es lo que Godaddy está haciendo.
Si tu blog está con problemas y no lo puedes solucionar, mientras Godaddy arregla todo no es mala idea poner el sitio en mantenimiento.
Lo que están propagando son troyanos que instalan falsos antivirus, 16/43. Por último mencionar que Telemprendedores ya está limpio y seguro :)
Ver también:
El negocio de los falsos antivirus.