Hola, llevo un par de días que me cambian imágenes en dos webs que mantengo. Las dos están con Symfony 2.5 en un servidor Centos con Apache y PHP 5.4.
He mirado en algunos log (no entiendo de servidores) y lo más raro que encuentro es:
52.0.113.165 - - [01/Mar/2015:00:17:15 +0100] "HEAD / HTTP/1.1" 301 0 "-" "woobot/1.1" 52.0.113.165 - - [01/Mar/2015:00:17:16 +0100] "HEAD / HTTP/1.1" 301 0 "-" "woobot/1.1" 52.1.199.127 - - [01/Mar/2015:00:17:18 +0100] "HEAD / HTTP/1.1" 301 0 "-" "woobot/2.0" 52.1.199.127 - - [01/Mar/2015:00:17:18 +0100] "GET /robots.txt HTTP/1.1" 301 178 "-" "woobot/2.0" 52.1.199.127 - - [01/Mar/2015:00:17:18 +0100] "HEAD / HTTP/1.1" 301 0 "-" "woobot/2.0" 180.76.4.139 - - [01/Mar/2015:00:31:14 +0100] "GET / HTTP/1.1" 301 178 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" 94.131.14.7 - - [01/Mar/2015:02:05:20 +0100] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.634.0 Safari/534.16" 189.83.88.1 - - [01/Mar/2015:02:14:02 +0100] "GET / HTTP/1.1" 301 178 "http://buttons-for-website.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
Sobre todo la última línea que pone una URL que si intento entrar me salta el antivirus.
En los proyectos he hecho un git status
y me dice que está todo bien, por lo que no han inyectado código en la web. También he cambiado las claves del FTP, pero esta noche han vuelto a cambiar imágenes.
También he mirado en los log de Symfony, pero no se muy bien que buscar, no veo nada que me diga que han tocado esa imagen ni nada.
¿Sabéis decirme que más mirar para saber que ocurre? Las imágenes siempre son de la web www.vistoenlasredes.com
Respuestas
En los mensajes de log que muestras no se ve nada raro. En cualquier caso, por la descripción que haces del problema, creo que las dos causas más probables son:
- Tu ordenador cliente está infectado con algún virus, troyano, etc. ¿Te pasa sólo con tus propios sitios web? ¿Te pasa sólo con un determinado navegador? ¿Se ha instalado alguna extensión o plugin extraño en tu navegador?
- Tu servidor ha sido comprometido. Dices que no ves nada raro en el código de tu aplicación, pero aún así, yo te aconsejaría borrar completamente la aplicación en el servidor y volver a reinstalarla.
@javiereguiluz
Hola, parece que esta noche no han modificado nada, pero aún así haré lo que me dices. No es nada del ordenador cliente, ya que pasa con todos: es que pueden de alguna manera entrar en el servidor y cambiar imágenes. Por ahora, seguiré investigando.
Gracias.
@AlbertoVioque