Alerta de Ataque Masivo a Blogs de WordPress

  • Autor Autor Alan Medina
  • Fecha de inicio Fecha de inicio
Alan Medina

Alan Medina

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Permítanme hacer copy paste de mi propio post:

Se ha levantado una nueva alarma que concierne a miles de personas de todo el mundo que cuentan con un blog que funciona bajo WordPress (la última versión, la 2.9.2 es vulnerable también); varios blogs han sido atacados y ahora se encuentran infectados, distribuyendo malware sin que los administradores de dichos sitios se hayan dado cuenta. Lo peor es que afecta a versiones self-hosted (instaladas en servidor propio) de WordPress.

Aparentemente esta vulnerabilidad tiene que ver con una inyección SQL o con alguna falla de un theme o plugin; también podría ser culpa de alguna librería desactualizada como Magpie que se distribuye con WordPress. Por ahora solo son especulaciones pues el problema no se ha identificado plenamente.

El problema se suscita cuando el campo siteurl de la tabla wp_options es reemplazado por un código HTML. Dicho campo guarda la URL del blog (es decir, ese campo no está diseñado para albergar código HTML), por lo que al ser consumado el ataque, posiblemente el sitio afectado deje de cargar.

El mayor número de casos que se han presentado hasta ahora tiene que ver con la empresa Network Solutions, aunque otros sitios en VPS.net también han sido afectados por lo que probablemente este ataque sea independiente de la compañía que brinda el hosting pues el hoyo de seguridad está en el mismo WordPress y no en un defecto de configuración o de hardware.

Es importante estar alerta y revisar continuamente los sitios para asegurarse de que no haya problemas; en caso de encontrar un comportamiento anormal, es recomendable revisar la base de datos y especialmente el campo siteurl.

Por lo pronto Sucuri Security Labs y Trend Micro han reportado este ataque; Trend Micro anuncia que su antivirus detecta el problema como TROJ_BUZUS.ZYX, que conlleva a una infección por malware, y en ciertos casos, puede instalar un antivirus falso en el equipo de los usuarios.

Actualización: Además de propagar malware, esta infección puede lograr que se generen backdoors (puertas traseras), es decir, que los administradores y usuarios podrían ver una versión normal del sitio, pero los motores de búsqueda podrían estar viendo de hecho otra versión de sitio, lo cual es especialmente peligroso y nocivo para los asuntos relacionados con el SEO.
Hacer clic para expandir...

Fuente

Como ven, hay que estar muy alerta sobretodo con código sospechoso. Usando su navegador vean el código fuente de su blog y busquen rastros sospechosos como por ejemplo cadenas largas sin sentido (ejemplo: 4we8gfd55k5l8p5jf3s3d7ds8). Ante cualquier duda, revisen.

Importante: hagan un respaldo de su blog para tener un punto de restauración por si esto pasa a mayores.

Aquí se detalla más el problema:
http://www.downloadsquad.com/2010/04/12/wordpress-blogs-hit-with-mass-malware-attack/
http://www.ghacks.net/2010/04/12/wordpress-hack-terrifies-webmasters/
 
Última edición:
Yo tengo entonces hay que actualizar??
 
Hoy uno de mis blogs trataron de entrar al wp-admin infinidad de veces pero no encontre nada raro sin embargo revisare el codigo saludos
 
Yo no se mucho sobre esto, soy bastante nuevo en Wordpress, asi que alguien podria decirme si mi sitio se encuentra infectado o tiene algo raro ??

Enlace eliminado
 
tycoongames123 dijo:
Yo no se mucho sobre esto, soy bastante nuevo en Wordpress, asi que alguien podria decirme si mi sitio se encuentra infectado o tiene algo raro ??

Enlace eliminado
Hacer clic para expandir...

No veo nada raro en tu sitio.
 
alankun dijo:
No veo nada raro en tu sitio.
Hacer clic para expandir...

Yo estoy usando la 2.9.2 sera recomendable actualizar ?? o esperar algun cambio, por ahora realizare backups completos, ya que nunca se sabe lo que puede pasar.
 
Gracias por el dato alankun, estuve viendo algunos fallos que se producian desde los comentarios, me parece que es un soft malicioso inyectado a la base de datos, fallos producidos como si se tratase de uso de brute force (fuerza bruta) para entrar. vi el plugin para reportar posibles logins, revise el codigo de la base de datos y todo bien, lo más extraño fue que veo en mi cuenta twitter que sabian mi contraseña, me fije que estaba siguiendo gente que yo no seguia, luego de esto cambie mi contraseña.

Mi recomendacion para los forobetense seria que hagan backup de sus blog/web para evitar posibles daños.

Saludos,
 
Por ahora sería tener un respaldo del sitio, en cuanto exista alguna actualización (que de ser esto cierto será rápido) el mismo Wordpress nos avisa, así que no creo haya que preocuparse 😉
 
gracias por la info, vere que pex con el codigo ñ_ñ gracias 😀

no veo nada raro, quiero creer que esta bien, no se si esto este o no ligado a lo que paso en blogspot donde la infeccion se hacia por medio de la instalacion de plugins (relojes generalmente), lo que recomiendo es que no instalen widgets por un rato, o si lo van a instalar esten 100% seguro de que es confiable, descargarlo y escanearlo con si anti-malware y antivirus no le caeria mal salu2 ñ_ñ
 
Gracias por el dato, estare al pendiente!
 
me encontre con esto en el footer :S
HTML: 
<?php eval(base64_decode('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'));?>
 
Gracias por la info Alan 😀

V.I.H. dijo:
me encontre con esto en el footer :S
HTML: 
<?php eval(base64_decode('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'));?>
Hacer clic para expandir...
Eso es porque esta encriptado 😀
 
V.I.H. dijo:
me encontre con esto en el footer :S
HTML: 
<?php eval(base64_decode('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'));?>
Hacer clic para expandir...

¿Usas theme gratuito? podría ser para asegurarse que no quitas los créditos.
 
si es free xD a bueno ahora estoy tranquilo, gracias a los 2 ñ_ñ
 
Si, más bien parece un simple footer de un theme gratuito, ésto es lo que añade:

HTML: 
<?php /* Fusion/digitalnature */
  $options = get_option('fusion_options');
?>
<!-- footer -->
 <div id="footer">
   <!-- please do not remove this. respect the authors :) -->
   <p> <?php if(is_home()) : ?><a href="http://drugstore10.com/" title="Drugstore">Drugstore</a><?php endif; ?>   <!-- <?php echo get_num_queries(); ?> queries. <?php timer_stop(1); ?> seconds. -->
   </p>
 </div>
 <!-- /footer -->

 <?php if((!$options['nolayoutcontrol']) && (!$options['nojquery'])) { ?>
 <a href="javascript:void(0);" class="setLiquid"><span>SetPageWidth</span></a>
 <?php } ?>
</div>
<!-- /page -->

</div>
</div>
<!-- /page wrappers -->


<?php wp_footer(); ?>
</body>

</html>
 
Se agradece la informacion, yo siempre actualizo y creo que hasta la fecha no tengo enemigos.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

R
Miles de instancias de CyberPanel fueron desconectadas en un ataque masivo de ransomware
Respuestas
0
Visitas
96
robo
R
E
Ataque masivo a Wordpress: Visitas Rusia en Analytics
Respuestas
2
Visitas
434
egrojcire
E
R
Alerta Seguridad: Ataque Masivo a Wordpress por Wordfence
Respuestas
5
Visitas
683
joel santos
J
Atrás
Arriba