Y en un nuevo episodio del salon de la fama del spam, hoy haremos una breve presentacion de una reliquia de mi servidor. Un ruso intentando crear una web porno a punta de comentarios.

He hecho una captura de pantalla del texto que escribí en esta entrada porque no quiero darles gusto, pero quiero compartir lo que decia el texto, asi que no queda mas que conformarse con una captura de pantalla. Como borraré el texto original con todo y los enlaces una vez publique esta entrada, puede que esto sea lo ultimo que quede de este intento de aprovecharse de mi novatada.

El texto, ya despojado de los enlaces maliciosos y trucos, se ve como un ataque de spam normal, pero en su tiempo conjeturaba que era un ruso tratando de crear una red de pornografía usando como medio los comentarios en sitios vulnerables y de hecho, como en esos dias estaba aprendiendo «hacking con buscadores» efectivamente vi muchos sitios con mensajes como estos, pero parecían trozos de web que se iban armando poco a poco con las piezas que habría dispersas por todas partes. Mi teoría era que intentaban saltarse la vigilancia de su pais nativo mediante usar paginas validas aunque vulnerables, pero ahora se que si bien algo de verdad tenia mi teoría, la realidad era un poco mas simple.

Este tipo de ataques se llama parasitismo de autoridad. Utilizaban sitios como blogspot, academias, ONGs y todo tipo de web que no tengan el control necesario de sus sistemas sociales. Ademas, agregaban un sistema de redireccion multinivel con el fin de confundir a los bots. Es decir, buscaban mandar a los usuarios a diferentes enlaces con el fin de siempre lograr su objetivo aunque baneen a algunos. También tenian «Spun Content» que no es mas que texto girado. le dan vuelta al texto para generar diferentes patrones con el fin de confundir a los bots y a los filtros de spam. Igual, para quien le interese mas informacion tecnica, a continuación comienzo a desglosar con mas detalle:

El atacante sabia a lo que iba e iba con todo

Si miras con atención las URLs del mensaje original (/community/profile/angleamarston53/), el bot no atacó la sección de comentarios comunes. Explotó una vulnerabilidad clásica de bbPress, vBulletin y phpBB: el registro automatizado de perfiles.

El fallo era que los foros antiguos permitían usar código HTML o BBCode en los campos «Biografía», «Firma» o «Sitio Web» del usuario. El software malicioso no interactuaba con la interfaz web. Enviaba una petición POST directa a la URL de registro (wp-login.php?action=register o la API del foro) metiendo todo el texto basura dentro del campo de la biografía. Al crearse el perfil, el foro generaba automáticamente una página pública indexable por Google. Los spammers lograban que un sitio legítimo apuntara a sus webs porno con la etiqueta rel=»dofollow», lo que obligaba a Google a transferirle reputación a la página atacante.

Las cosas que funcionaban y que no en la época

En los años de este mensaje, las defensas de los blogs dependían de dos métodos que los bots aprendieron a saltar fácilmente:Listas negras de palabras (ModSecurity / Plugins): Los administradores bloqueaban palabras como «viagra», «casino» o «porn». Los atacantes rusos esquivaban esto usando Spintax (el formato de llaves {текст} que viste). El bot generaba dinámicamente combinaciones infinitas; si bloqueabas una palabra, la siguiente cuenta usaba un sinónimo que no estaba en tu lista. En esa epoca se utilizaban los Filtros Bayesianos. Estos filtros analizaban la probabilidad de que un texto fuera spam según la estructura de las frases. Para romper esta lógica, los spambots añadían párrafos enteros de noticias reales o textos literarios copiados de Wikipedia al inicio del mensaje, «camuflando» las palabras de adultos que venían al final.

Las herramientas que usaban

Este ataque no lo hizo una persona haciendo clics. Se ejecutó usando herramientas de automatización industrial, siendo XRumer (de creación rusa) la más famosa del mundo para este fin. Podía saltarse captchas visuales antiguos resolviéndolos por inteligencia de patrones en milisegundos. Registraba hasta 100 cuentas por minuto en miles de foros simultáneamente a través de redes de proxies abiertos para ocultar su dirección IP real.