Black Hack SEO

Sí, has leído bien y no me he equivocado al escribir sombrero en inglés. De vez en cuando me encuentro con cosas curiosas como esta y me gusta documentarlas por si alguien ha tenido experiencias parecidas.

Bueno, al lío, hace un tiempo la buena de Ainara Flores me pidió que le echase una mano con un expediente X que había encontrado, así que nos pusimos a trabajar.

black-hack-seo-i

Empieza la fiesta, problema detectado


Un sitio web que gestiona, había sufrido un rediseño, y como consecuencia de ese rediseño se había encontrado con un descenso del 50% del tráfico orgánico en una de sus secciones.

Aparentemente no había pasado nada extraño, el rediseño estaba bien planificado, las demás secciones estaban funcionando normalmente, y casi no se había notado descenso de tráfico, es más, a alguna de las secciones el rediseño le había sentado bien desde el primer momento.

Tras una primera revisión, comprobamos que todo estaba funcionando correctamente, las nuevas url respondían bien, no había aumento de errores 404, las redirecciones estaban bien, G había reindexado el contenido con cierta rapidez, pero nos encontramos con una sorpresa:

Al hacer búsquedas relacionadas con el contenido de la sección, aparecía bien posicionado como siempre, pero al hacer el tan esperado click, unas veces te llevaba al destino correcto y otras veces no, llevando a una página de error de un dominio que no tenía nada que ver con el site en cuestión.

¿Unas sí y otras no? ¿Otro dominio? ¿Unas sí y otras no? ¿Otro dominio? Raro ¿no?

¿Se está equivocando el bicho? G se equivoca muchas veces, todos los que estamos en esto lo sabemos, pero nunca había visto algo así, y sobre todo, ¿Por qué justo a partir del rediseño? Claramente había que descartar el error de G, o por lo menos pensar que ese error se lo estábamos induciendo nosotros con algo que había pasado en el rediseño.

Estudiando con un poco de detalle la SERP vimos que aunque el click apuntaba al site bueno, gran parte de las veces acababa en el malo, pero G siempre marcaba la url correcta.

Quizás por mi deformación técnica desde un principio pensé en un hackeo, algo a nivel de servidor, una inyección de código en el .htaccess, pero, no encajaba con que lo hiciese unas veces sí y otras no … ¿o sí?:

Llamada por teléfono a sistemas:

Nosotros: “¿Cuantos frontales tiene el site?”

Sistemas: “2”

Nosotros: “Bingo¡¡¡¡, uno hackeado y otro no”

Sistemas:”No puede ser, los dos frontales están replicados, el .htaccess tiene que ser el mismo y además a nuestros sistemas sólo se puede acceder desde dentro de nuestra infraestructura, todos los accesos desde fuera están capados.”

Nosotros:”Ya sabemos que es imposible, pero ¿puedes perder 5 minutos de tu valioso tiempo en comprobar algo que no puede ser y además es imposible?”

Sistemas: “Ahora os lo compruebo y os llamo.”

Supongo que sistemas, tras pensar que estábamos emparanoiados con algo que de no sé qué (estos de SEO están más pallá que pacá), decidió comprobar dos ficheros que tenían que ser iguales sí o sí y se encontró con la sorpresa:

En uno de ellos había una línea distinta, una maldita redirección a un sitio que ya no existía, es más, había dejado de existir hace muuuucho tiempo, así que muerto el perro se acabó la rabia, o ¿no?

Black Hack SEO

Pues No. Obviamente teníamos que descubrir cómo alguien había conseguido inyectar ese código dentro del .htaccess, sino no nos íbamos a quedar tranquilos y además corríamos el riesgo de que volviese a pasar.

Tirando del hilo descubrimos el lío. El contenido de esa sección estuvo alojado inicialmente en un servidor Linux, y posteriormente en una máquina Windows fuera de nuestra estructura, con un nivel de seguridad bastante más bajo del recomendable (quiero pensar). En algún momento se consiguió infectar uno de los dos .htaccess, pero al estar bajo Windows, la infección no era “visible” y posiblemente ese fichero, al no ser un fichero típico de ese sistema operativo no se replicaba. En el rediseño se importó el contenido de toda la sección a una nueva máquina Linux mucho más segura, y ahí es dónde empezó la fiesta.

¿Por qué no se replicaba el .htaccess de un frontal al otro? Pues supongo que al ser distintos inicialmente, es decir, al importarse al último servidor provocaba un conflicto entre versiones que el sistema de réplicación no era capaz de resolver sin la intervención de un técnico.

Bueno, ahí tenéis las gráficas que muestran la evolución temporal de un “expediente X” que nos hizo rompernos la cabeza durante un tiempo, pero que al final nos permitió aprender algo más sobre la importancia de la seguridad en sistemas.

Desde aquí quiero agradecer a la gran Ainara Flores cada uno de los días que he compartido con ella, y sobre todo, que me permitiese compartir con total naturalidad cada problema y cada solución. Ha sido muy enriquecedor a nivel profesional y sobre todo a nivel personal.

“Tengo un problema que no sé cómo resolver” ¿Nos fumamos un cigarro?” 😉

6 pensamientos en “Black Hack SEO

    1. Dabyth Autor

      Hola JDavid,
      La verdad es que en el momento en el que lo pillamos sus permisos, propietario y grupo eran correctos, pero no tengo ni la más remota idea de su histórico, al pasar por tantas “casas”, y una de ella Windows me imagino que en algún momento sus permisos pueden haber llegado a ser 141414, es decir, algo así como que todo el que pasa por allí está obligado a dejar unas líneas de código dentro del fichero, a modo libro de firmas 😉
      Muchas gracias por dejar el comentario.
      David

      Responder
  1. Miguel Lopez

    He seguido todo tu razonamiento calcadito… paso por paso… hasta lo de la inyección de la linea en el .htaccess. Buen caso de estudio… mucho ojo con la Base64 !!!

    La pregunta es ¿los de sistemas te llamaron para contártelo o se lo tuviste que sacar?

    Responder
  2. Dabyth Autor

    Los de sistemas no tuvieron más remedio que cantar la traviata, pero ya se lo habíamos dicho antes.
    El tema es que había pasado tanto tiempo y el site había dado tantas vueltas que resultó imposible determinar cuando lo infectaron.
    Con respecto a Base64, por si alguien no sabe de que va el tema, hay una serie de posts de Chema Alonso, interesantes y en su línea, http://www.elladodelmal.com/2010/12/bbb64-buscando-bujeros-en-base64-1-de-4.html
    Gracias por el comentario.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *