Alerta de Ataque Masivo a Blogs de WordPress

Alan Medina · 12 Abr 2010

Permítanme hacer copy paste de mi propio post:

Se ha levantado una nueva alarma que concierne a miles de personas de todo el mundo que cuentan con un blog que funciona bajo WordPress (la última versión, la 2.9.2 es vulnerable también); varios blogs han sido atacados y ahora se encuentran infectados, distribuyendo malware sin que los administradores de dichos sitios se hayan dado cuenta. Lo peor es que afecta a versiones self-hosted (instaladas en servidor propio) de WordPress.

Aparentemente esta vulnerabilidad tiene que ver con una inyección SQL o con alguna falla de un theme o plugin; también podría ser culpa de alguna librería desactualizada como Magpie que se distribuye con WordPress. Por ahora solo son especulaciones pues el problema no se ha identificado plenamente.

El problema se suscita cuando el campo siteurl de la tabla wp_options es reemplazado por un código HTML. Dicho campo guarda la URL del blog (es decir, ese campo no está diseñado para albergar código HTML), por lo que al ser consumado el ataque, posiblemente el sitio afectado deje de cargar.

El mayor número de casos que se han presentado hasta ahora tiene que ver con la empresa Network Solutions, aunque otros sitios en VPS.net también han sido afectados por lo que probablemente este ataque sea independiente de la compañía que brinda el hosting pues el hoyo de seguridad está en el mismo WordPress y no en un defecto de configuración o de hardware.

Es importante estar alerta y revisar continuamente los sitios para asegurarse de que no haya problemas; en caso de encontrar un comportamiento anormal, es recomendable revisar la base de datos y especialmente el campo siteurl.

Por lo pronto Sucuri Security Labs y Trend Micro han reportado este ataque; Trend Micro anuncia que su antivirus detecta el problema como TROJ_BUZUS.ZYX, que conlleva a una infección por malware, y en ciertos casos, puede instalar un antivirus falso en el equipo de los usuarios.

Actualización: Además de propagar malware, esta infección puede lograr que se generen backdoors (puertas traseras), es decir, que los administradores y usuarios podrían ver una versión normal del sitio, pero los motores de búsqueda podrían estar viendo de hecho otra versión de sitio, lo cual es especialmente peligroso y nocivo para los asuntos relacionados con el SEO.

Fuente

Como ven, hay que estar muy alerta sobretodo con código sospechoso. Usando su navegador vean el código fuente de su blog y busquen rastros sospechosos como por ejemplo cadenas largas sin sentido (ejemplo: 4we8gfd55k5l8p5jf3s3d7ds8). Ante cualquier duda, revisen.

Importante: hagan un respaldo de su blog para tener un punto de restauración por si esto pasa a mayores.

Aquí se detalla más el problema:
http://www.downloadsquad.com/2010/04/12/wordpress-blogs-hit-with-mass-malware-attack/
http://www.ghacks.net/2010/04/12/wordpress-hack-terrifies-webmasters/

Javier Salazar · 12 Abr 2010

Yo tengo entonces hay que actualizar??

sobajar · 12 Abr 2010

Hoy uno de mis blogs trataron de entrar al wp-admin infinidad de veces pero no encontre nada raro sin embargo revisare el codigo saludos

tycoongames123 · 12 Abr 2010

Yo no se mucho sobre esto, soy bastante nuevo en Wordpress, asi que alguien podria decirme si mi sitio se encuentra infectado o tiene algo raro ??

Enlace eliminado

Alan Medina · 12 Abr 2010

tycoongames123 dijo:
Yo no se mucho sobre esto, soy bastante nuevo en Wordpress, asi que alguien podria decirme si mi sitio se encuentra infectado o tiene algo raro ??

Enlace eliminado

No veo nada raro en tu sitio.

tycoongames123 · 12 Abr 2010

alankun dijo:
No veo nada raro en tu sitio.

Yo estoy usando la 2.9.2 sera recomendable actualizar ?? o esperar algun cambio, por ahora realizare backups completos, ya que nunca se sabe lo que puede pasar.

pairox · 12 Abr 2010

Gracias por el dato alankun, estuve viendo algunos fallos que se producian desde los comentarios, me parece que es un soft malicioso inyectado a la base de datos, fallos producidos como si se tratase de uso de brute force (fuerza bruta) para entrar. vi el plugin para reportar posibles logins, revise el codigo de la base de datos y todo bien, lo más extraño fue que veo en mi cuenta twitter que sabian mi contraseña, me fije que estaba siguiendo gente que yo no seguia, luego de esto cambie mi contraseña.

Mi recomendacion para los forobetense seria que hagan backup de sus blog/web para evitar posibles daños.

Saludos,

Mario · 12 Abr 2010

Por ahora sería tener un respaldo del sitio, en cuanto exista alguna actualización (que de ser esto cierto será rápido) el mismo Wordpress nos avisa, así que no creo haya que preocuparse 😉

dtodo · 12 Abr 2010

se agradece la info!

Victor Hernandez · 12 Abr 2010

gracias por la info, vere que pex con el codigo ñ_ñ gracias 😀

no veo nada raro, quiero creer que esta bien, no se si esto este o no ligado a lo que paso en blogspot donde la infeccion se hacia por medio de la instalacion de plugins (relojes generalmente), lo que recomiendo es que no instalen widgets por un rato, o si lo van a instalar esten 100% seguro de que es confiable, descargarlo y escanearlo con si anti-malware y antivirus no le caeria mal salu2 ñ_ñ

Plaga · 12 Abr 2010

Gracias por el dato, estare al pendiente!

Victor Hernandez · 12 Abr 2010

me encontre con esto en el footer :S

HTML:

<?php eval(base64_decode('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'));?>

vicarlone · 12 Abr 2010

Gracias por la info Alan 😀

V.I.H. dijo:

me encontre con esto en el footer :S

HTML:

<?php eval(base64_decode('Pz4gPD9waHAgLyogRnVzaW9uL2RpZ2l0YWxuYXR1cmUgKi8NCiAgJG9wdGlvbnMgPSBnZXRfb3B0aW9uKCdmdXNpb25fb3B0aW9ucycpOw0KPz4NCjwhLS0gZm9vdGVyIC0tPg0KIDxkaXYgaWQ9ImZvb3RlciI+DQogICA8IS0tIHBsZWFzZSBkbyBub3QgcmVtb3ZlIHRoaXMuIHJlc3BlY3QgdGhlIGF1dGhvcnMgOikgLS0+DQogICA8cD4gPD9waHAgaWYoaXNfaG9tZSgpKSA6ID8+PGEgaHJlZj0iaHR0cDovL2RydWdzdG9yZTEwLmNvbS8iIHRpdGxlPSJEcnVnc3RvcmUiPkRydWdzdG9yZTwvYT48P3BocCBlbmRpZjsgPz4gICA8IS0tIDw/cGhwIGVjaG8gZ2V0X251bV9xdWVyaWVzKCk7ID8+IHF1ZXJpZXMuIDw/cGhwIHRpbWVyX3N0b3AoMSk7ID8+IHNlY29uZHMuIC0tPg0KICAgPC9wPg0KIDwvZGl2Pg0KIDwhLS0gL2Zvb3RlciAtLT4NCiA8P3BocCBpZigoISRvcHRpb25zWydub2xheW91dGNvbnRyb2wnXSkgJiYgKCEkb3B0aW9uc1snbm9qcXVlcnknXSkpIHsgPz4NCiA8YSBocmVmPSJqYXZhc2NyaXB0OnZvaWQoMCk7IiBjbGFzcz0ic2V0TGlxdWlkIj48c3Bhbj5TZXRQYWdlV2lkdGg8L3NwYW4+PC9hPg0KIDw/cGhwIH0gPz4NCjwvZGl2Pg0KPCEtLSAvcGFnZSAtLT4NCg0KPC9kaXY+DQo8L2Rpdj4NCjwhLS0gL3BhZ2Ugd3JhcHBlcnMgLS0+DQoNCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bWw+DQogPD8='));?>

Eso es porque esta encriptado 😀

Mario · 12 Abr 2010

V.I.H. dijo:

me encontre con esto en el footer :S

HTML:

<?php eval(base64_decode('Pz4gPD9waHAgLyogRnVzaW9uL2RpZ2l0YWxuYXR1cmUgKi8NCiAgJG9wdGlvbnMgPSBnZXRfb3B0aW9uKCdmdXNpb25fb3B0aW9ucycpOw0KPz4NCjwhLS0gZm9vdGVyIC0tPg0KIDxkaXYgaWQ9ImZvb3RlciI+DQogICA8IS0tIHBsZWFzZSBkbyBub3QgcmVtb3ZlIHRoaXMuIHJlc3BlY3QgdGhlIGF1dGhvcnMgOikgLS0+DQogICA8cD4gPD9waHAgaWYoaXNfaG9tZSgpKSA6ID8+PGEgaHJlZj0iaHR0cDovL2RydWdzdG9yZTEwLmNvbS8iIHRpdGxlPSJEcnVnc3RvcmUiPkRydWdzdG9yZTwvYT48P3BocCBlbmRpZjsgPz4gICA8IS0tIDw/cGhwIGVjaG8gZ2V0X251bV9xdWVyaWVzKCk7ID8+IHF1ZXJpZXMuIDw/cGhwIHRpbWVyX3N0b3AoMSk7ID8+IHNlY29uZHMuIC0tPg0KICAgPC9wPg0KIDwvZGl2Pg0KIDwhLS0gL2Zvb3RlciAtLT4NCiA8P3BocCBpZigoISRvcHRpb25zWydub2xheW91dGNvbnRyb2wnXSkgJiYgKCEkb3B0aW9uc1snbm9qcXVlcnknXSkpIHsgPz4NCiA8YSBocmVmPSJqYXZhc2NyaXB0OnZvaWQoMCk7IiBjbGFzcz0ic2V0TGlxdWlkIj48c3Bhbj5TZXRQYWdlV2lkdGg8L3NwYW4+PC9hPg0KIDw/cGhwIH0gPz4NCjwvZGl2Pg0KPCEtLSAvcGFnZSAtLT4NCg0KPC9kaXY+DQo8L2Rpdj4NCjwhLS0gL3BhZ2Ugd3JhcHBlcnMgLS0+DQoNCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bWw+DQogPD8='));?>

¿Usas theme gratuito? podría ser para asegurarse que no quitas los créditos.

Victor Hernandez · 12 Abr 2010

si es free xD a bueno ahora estoy tranquilo, gracias a los 2 ñ_ñ

quality · 12 Abr 2010

Si, más bien parece un simple footer de un theme gratuito, ésto es lo que añade:

HTML:

<?php /* Fusion/digitalnature */
  $options = get_option('fusion_options');
?>
<!-- footer -->
 <div id="footer">
   <!-- please do not remove this. respect the authors :) -->
   <p> <?php if(is_home()) : ?><a href="http://drugstore10.com/" title="Drugstore">Drugstore</a><?php endif; ?>   <!-- <?php echo get_num_queries(); ?> queries. <?php timer_stop(1); ?> seconds. -->
   </p>
 </div>
 <!-- /footer -->

 <?php if((!$options['nolayoutcontrol']) && (!$options['nojquery'])) { ?>
 <a href="javascript:void(0);" class="setLiquid"><span>SetPageWidth</span></a>
 <?php } ?>
</div>
<!-- /page -->

</div>
</div>
<!-- /page wrappers -->


<?php wp_footer(); ?>
</body>

</html>

crystaldream · 12 Abr 2010

Se agradece la informacion, yo siempre actualizo y creo que hasta la fecha no tengo enemigos.

Alerta de Ataque Masivo a Blogs de WordPress

Alan Medina

Javier Salazar

sobajar

tycoongames123

Alan Medina

tycoongames123

pairox

Mario

dtodo

Victor Hernandez

Plaga

Victor Hernandez

vicarlone

Mario

Victor Hernandez

quality

crystaldream

Temas similares

Privacidad y transparencia

Privacidad y transparencia