A pesar de todo mi trabajo para fortalecer mi sitio web, alguien ha logrado piratearlo.
Al cargar la página de inicio en IE8, la página parece cargarse normalmente. Luego, la barra de estado muestra brevemente una solicitud a un dominio que es solo un montón de letras seguidas de .com. Abre una ventana del Reproductor de Windows Media, y cuando se abre, la pantalla de IE se pone roja con una advertencia "este sitio ha sido reportado como inseguro".
En Chrome, el sitio se carga normalmente, y recibo una advertencia de que el complemento de Java necesita mi permiso para ejecutarse. No le di permiso.
En Firefox, todo parece normal, pero en mi menú NoScript hay un elemento con la etiqueta " enlace ", que, por supuesto, he bloqueado.
La buena noticia es que pude capturar una película de la pantalla del problema en IE y pude observar el dominio de malware para la investigación.
Cuando noté el problema por primera vez, inicié Wireshark y he iniciado sesión en mi PC desde entonces. Esto me proporcionó múltiples solicitudes de DNS con nombres de dominio vinculados al ataque. También he descargado los registros del servidor. Nuestro sitio completo se ha trasladado a un directorio de espera y se ha colocado un mensaje 'no disponible' en la raíz de nuestro dominio. He cambiado nuestra contraseña de inicio de sesión del servidor.
Descargué una copia de nuestra página de inicio del servidor y la analicé. El dominio malicioso no se encuentra en ninguna parte. Utilizo algunas bibliotecas de JavaScript externas, como jQuery, que se cargan desde servidores remotos. Me pregunto si algo podría haber sucedido en uno de esos servidores?
Ahora no estoy muy seguro de qué hacer a continuación. Soy un creador, no un experto en seguridad. Mi puesto actual no tiene un departamento de seguridad de la información o de TI para obtener asistencia, por lo que estoy buscando ayuda de cualquier persona que pueda reconocer los síntomas de este ataque.
ACTUALIZACIÓN: encontré archivos maliciosos en mi servidor idénticos a los descritos en enlace
Actualización del 26 de octubre: después de revisar los archivos de registro, encontré que el truco se realizó a través de FTP. Evidentemente, mi nombre de usuario fue robado de alguna manera.