Incidente de Malware en WordPress 2015

G

Gabriel Souza

Delta

Domainer

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 16 Feb 2015

• #1

​

Hace unos días se descubrió una vulnerabilidad Zero Day en WordPress, que consistía en inyectar malware por medio de un plugin que llega des-actualizado 2 años, me refiero a Fancy Box. Sucede que hoy en la mañana recibí un mail de Wordfence informándome que me sitio web había sido infectado con malware.

Revisando el código fuente del archivo infectado me di cuenta de que se trataba de la vulnerabilidad que acababan de descubrir días atrás, lo curioso de todo esto es que yo no tengo el plugin Fancy Box instalado. Por lo que el medio que utiliza el malware para propagarse pueda ser otro.

Tengan cuidado con sus blogs (si usan WordPress), les dejo screenshot de Wordfence.
Dejo capturas de WordFence:

Código Fuente / Ver en Imgur

Mail de WordFence / Ver en Imgur

 

Chlitzxer

Delta

Programador

• 16 Feb 2015

• #2

Me parece que esto no debería apuntar a la vulnerabilidad en wordpress el titulo debería hablar mas bien del plugin...

 

S

SnakeNet

Xi

Programador

• 16 Feb 2015

• #3

Chlitzxer dijo:

Me parece que esto no debería apuntar a la vulnerabilidad en wordpress el titulo debería hablar mas bien del plugin...

Hacer clic para expandir...

Segun comenta él, no tiene ni claro por donde se le metió dice que no lo usa.

 

Chlitzxer

Delta

Programador

• 16 Feb 2015

• #4

SnakeNet dijo:

Segun comenta él, no tiene ni claro por donde se le metió dice que no lo usa.

Hacer clic para expandir...

A mi me suena mas bien a plugin o theme nulled que ah otra cosa...

 

S

SnakeNet

Xi

Programador

• 16 Feb 2015

• #5

Chlitzxer dijo:

A mi me suena mas bien a plugin o theme nulled que ah otra cosa...

Hacer clic para expandir...

Puede ser cualquier cosa o wp desactualizado. Pero en todo el caso debería examinar para que no le vuelva a suceder.

 

A

aBsTrAcTo

Zeta

Programador

Verificado por Whatsapp

• 16 Feb 2015

• #6

si estas en un servidor compartido pueden ser muchas cosas. y mas sino esta protegido. en un vps en diciembre una vulnerabilidad similar (no tenia plugins) pero si la version desactualizada como dos versiones. analizando los logs del servidor pude ver que modifico otros blogs y lo peor de esto, no fue para "hackear" sino para hacer spamm silenciosamente. por cada visita que un usuario hacia esta persona coloco un iframe a modo de que en cada visita se abriera a un rand que esos rand tenian correos destinatarios.. (bastantes) cuando0 vine a ver penalizado ese vps de hotmail, yahoo, gmail. hay que tener cuidado con estos spammer la verdad

en este vps no tenia protegido el php obviamente no activo safemode porque dejan de funcionar paginas. pero si las funciones basicas que suelen usar se me olvido desactivarlas del php

 

G

Gabriel Souza

Delta

Domainer

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 16 Feb 2015

• #7

Chlitzxer dijo:

A mi me suena mas bien a plugin o theme nulled que ah otra cosa...

Hacer clic para expandir...

No tengo ningún plugin nulled mi instalación esta completamente limpia, por lo que les digo que tengan mucho cuidado, si lograron vulnerar mi blog pueden con el de cualquiera de ustedes.

Estén atentos :encouragement:

 

C

creacioneweb

Gamma

SEO

• 16 Feb 2015

• #8

revisen sus blogs y revisen estas webs exploit malware en google y injector ingual google, coloquen wordpress y denle una revisadita

 

S

shruken

Préstamo

Pi

SEO

• 16 Feb 2015

• #9

es lo malo de wordpress casi siempre hay vulnerabilidades y lo peor es que en google explican como explotarlas de manera facil por lo que cualquiera podria hackear algun blog que encuentre "desprotegido" por lo cual siempre es bueno mantenerse actualizado y tambien enterarse de este tipo de noticias

 

Chlitzxer

Delta

Programador

• 16 Feb 2015

• #10

EduardoRZFE dijo:

No tengo ningún plugin nulled mi instalación esta completamente limpia, por lo que les digo que tengan mucho cuidado, si lograron vulnerar mi blog pueden con el de cualquiera de ustedes.

Estén atentos :encouragement:

Hacer clic para expandir...

Que compañia de hosting usas?

 

G

Gabriel Souza

Delta

Domainer

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 16 Feb 2015

• #11

Chlitzxer dijo:

Que compañia de hosting usas?

Hacer clic para expandir...

Banahosting, pero ya les informe del problema y lo están solucionando. Por mi parte ya elimine el script malicioso de mi blog 🙂

 

Chlitzxer

Delta

Programador

• 16 Feb 2015

• #12

Chlitzxer dijo:

Que compañia de hosting usas?

Hacer clic para expandir...

Yo uso estos dos plugins y 0 problemas de seguridad eso si tengo los emails habilitados de cuando tengo ataques y a diario me llegan como estan tratando de entrar...

- WordPress - Hide My WP - No one can know you use WordPress! | CodeCanyon
- CrawlTrack, web analytics.

 

K

KarlaKu

Alfa

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 16 Feb 2015

• #13

Pero, manteniendo siempre la version de WP actualizadao y el plugin actualizado esto no debe ser problema bo?

 

asesor

Ni

Verificación en dos pasos activada

Verificado por Whatsapp

• 16 Feb 2015

• #14

Lo que pasa es que si no tienes claro por donde se te metio
y no tienes ese `pluguin deberias de revisar posibilidades
porque lo tuyo va por otro lado por lo que patece

saludos

 

narorecords

Beta

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 16 Feb 2015

• #15

Muchas gracias uso WordPress.

- - - Actualizado - - -

Eso mismo entiendo yo, siempre tengo el WP actualizado.

- - - Actualizado - - -

A mi solo en los comentarios de WP llegan algunos mensajes SPAM