Intrusión en panel de admin de wordpress: ¿Google Update o GoogleCrashHandler?

  • Autor Autor Pablito
  • Fecha de inicio Fecha de inicio
P

Pablito

Eta
SEO
Bueno les voy a comentar una experiencia.

Yo tengo un blog que trabajo junto a un socio español, que bueno, el pibe sabe bastante de hack y eso.

Debido a un problema que nos pasó con wordpress, él descubrió algo bastante raro.
Google había entrado en el panel de admin de nuestro wordpress.

Acá está el log que me pasó el:
Insertar CODE, HTML o PHP: 
66.249.67.74 - - [14/Feb/2011:04:53:31 +0100] "GET /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload HTTP/1.1" 302 26 "-" "Mediapartners-Google"

Nos preguntamos que cosa podía ser... nos parecía rarísimo, el panel pide password y no se puede entrar más allá si no se ingresa la password, pero el googlebot había logrado entrar a una de las secciones de nuestro panel.

Ahí fue cuando hice CTRL+ALT+SUPR y descubrí que tenía ejecutando a "GoogleUpdate.exe" y "GoogleCrashHandler.exe".

Al primer archivo "GoogleUpdate.exe" lo borré sin problemas de la ejecución, desinstalé el Google Update y listo.

Pero el segundo se me presentó más problemático.

Cuando le di a "cerrar proceso" el archivo se volvía a ejecutar solo.

Entonces empezé a investigar y me encontré con que deshabilitando unas opciones en los programas que son productos de Google se podía sacar: Stop and Remove GoogleCrashHandler.exe From Running On Your Computer

Contento fuí a hacer lo que indicaban ahí con todos los productos que tenía instalado... picasa, earth y chrome.

Pero luego de hacerlo el programa siguió ahí, reinicié la pc y seguia ahí, cerraba el proceso y se volvía a ejecutar, parecía un virus.

Bueno para borrarlo no me quedó otra opción que loguear en ubuntu y borrarlo manualmente desde ahí.

Ya no quedó rastro de él.

No volvimos a hablar del tema con mi socio. Pero yo me pregunté, era ese el programa que logueaba en nuestro wordpress? o tal vez sería el google update?

No sé, lo unico que sé es que ese programa estaba ahí y yo no podía borrarlo como un usuario común, tuve que recurrir a "técnicas avanzadas" que no estan al alcance del usuario común.
 
Para fripar con skyn.. digo Google
 
vaya tan bajo a llegado google para hackear o meterse en wordpress
 
Aquí en castellano: googlecrashhandler.exe - Foro de InfoSpyware

Por lo visto es el informe de errores de google. Si ese proceso es el culpable, el acceso a tu panel debería haber sido desde tu misma ip y no desde la ip de google.

La etiqueta de ese agent es del bot de adsense.

Insertar CODE, HTML o PHP: 
Mediapartners-Google
    crawls pages to determine AdSense content. We only use this bot to crawl your site if you show AdSense ads on your site.

Quizás algún tema de permisos.

Saludos
 
meaburro dijo:
Aquí en castellano: googlecrashhandler.exe - Foro de InfoSpyware

Por lo visto es el informe de errores de google. Si ese proceso es el culpable, el acceso a tu panel debería haber sido desde tu misma ip y no desde la ip de google.

La etiqueta de ese agent es del bot de adsense.

Insertar CODE, HTML o PHP: 
Mediapartners-Google
    crawls pages to determine AdSense content. We only use this bot to crawl your site if you show AdSense ads on your site.

Quizás algún tema de permisos.

Saludos
Hacer clic para expandir...

Gracias por la información.

Creo que tendré que ver los permisos pero me parece raro ya que es un wordpress instalado como todos, es decir, siguiendo los pasos del setup en un servidor normal.

Y además el español es un tipo que cuida mucho la seguridad, le viven atacando los servidores (sin éxito), como dato curioso puedo comentarles que las passwords que me pasa para los blogs son del tipo "%6swaWs,.&2$" es decir largas y con caracteres difíciles, inrecordables xD
 
Cabe la posibilidad de que el archivo estuviera infectado o era un troyano con ese nombre.. o sea, mas seguro de que tu pc este infectado y el que te infecto ya tenga todos tus datos de acceso a wordpress, ftp, paneles etc, esta claro que a google no le importa joder tu sitio...

Este enlace --> /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload

Google hace un get de ese enlace, tal cual haría yo mismo si entro a esa dirección, aunque haga la petición no significa que obtenga el resultado.. solo hago la petición por que me encontré tu enlace por ahí.. tal como hace google, se lo encuentra y hace la petición.. pero no le resuelve nada, le muestra una página de error, tal cual te hará a ti si no estas logueado...

No se si me entiendas, pero no significa que google haya podido acceder ni nadie mas.. es un simple ejemplo

Gogole dice.. dame esta página tublogblabla.comwp-admin/admin.php?page=dlm_addnew&action=add&method=upload

El sistema de logs registra

Google hace petición a /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload

El sistema manda la web a google /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload

Verifica que tenga permisos para verla..

No los tiene...

Pero en el log de accesos sale que google pidio que le sirvieran la url --> /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload se le mando la web a google pero no tuvo permisos..

Y por que tiene google ese enlace ??.. lo encontró por ahí, tal vez en alguna parte de tu web.. o tal vez por que en alguna otra web te apuntaba hacia a él, o por cualquier motivo..

Ahora bien, en el log de errores a de marcarte también eso.. acceso denegado a /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload bla bla..

Esto también explica por que awstats marca mas visitas que analytics...

Yo hago petición a /wp-admin/admin.php?page=dlm_addnew&action=add&method=upload

Entré a tu sitio, se a registrado mi visita, pero la verdad no ví nada, un mensaje de error, ahí también lo cuenta awstats como una visita, en cambio esta petición no la veras en analytics...

No se si me explique...

Edito..

Google sigue todos los enlaces, para evitar esos accesos configura el robots.txt...
 
meaburro dijo:
Aquí en castellano: googlecrashhandler.exe - Foro de InfoSpyware

Por lo visto es el informe de errores de google. Si ese proceso es el culpable, el acceso a tu panel debería haber sido desde tu misma ip y no desde la ip de google.

La etiqueta de ese agent es del bot de adsense.

Insertar CODE, HTML o PHP: 
Mediapartners-Google
    crawls pages to determine AdSense content. We only use this bot to crawl your site if you show AdSense ads on your site.

Quizás algún tema de permisos.

Saludos
Hacer clic para expandir...

No creo que sea necesario usar la misma ip de Jameson/Pablito para poder ingresar, si él usa chrome, facilmente pudo haberse filtrado una cookie de manera oculta, y con la cookie muchas cosas se pueden hacer.
 
Julcar dijo:
No creo que sea necesario usar la misma ip de Jameson/Pablito para poder ingresar, si él usa chrome, facilmente pudo haberse filtrado una cookie de manera oculta, y con la cookie muchas cosas se pueden hacer.
Hacer clic para expandir...

Sería más rebuscado, pero el acceso sigue siendo desde la ip de google, no creo que sean tan chapuceros para espiarnos así.

Coincido con skamasle. Yo visitaría esa url (la cual no existe en mi wordpress ni al estar logueado) desde un par de ips y chequearía los logs. Si aparecen las visitas skamasle está en lo cierto.
 
Entiendo tu explicación y muchas gracias pero tengo una duda:

skamasle dijo:
Y por que tiene google ese enlace ??.. lo encontró por ahí, tal vez en alguna parte de tu web.. o tal vez por que en alguna otra web te apuntaba hacia a él, o por cualquier motivo..
Hacer clic para expandir...
Como puede ser si yo no estoy enlazando eso de ningún lado?
Tampoco creo que lo esté enlazando otro...
 
Aquí tienes la solución:

SERIOUS Adsense Bot Issues - DRAFT & PRIVATE Posts on Blogs are URL NOT FOUND resulting in BLOCKED URL - AdSense Help

El bot de adsense chequea todas las urls donde se han mostrado anuncios.

Cuando la chequeó seguramente ya no existía, pero en algún momento (vista previa, borrador, etc) tuviste anuncios en esa URL y por eso te visitó el robotillo.

Insertar CODE, HTML o PHP: 
The Adsense crawler "knows" every URL where the Adsense ads display - that's because the ads use javascript hosted by Google.

When you preview your post and the ads load, Adsense can "see" that.

The Adsense crawler probably got pinged with those URLs when you were previewing the drafts (as indicated by the ?preview in the URLs in the image from your account), then couldn't actually reach the pages because they are unpublished.

It sounds as if everything is working exactly as it should - the pages being listed as "blocked" in your Adsense account aren't actually available for the Adsense crawler to visit.

I wouldn't worry about it unless the "blocked" URLs actually should be accessible to the crawler


Saludos
 
Jeje el problema es que este blog no tiene adsense incluido...

Gracias de todos modos.

PD: sigue siendo todo un enigma para mí xD
 
Pues si ni tiene ni tuvo y te llega una visita con user-agent de adsense, supongo que será falseada y me preocuparía más jejeje

Quizá un bot de spam (o un individuo) chequeando vulnerabilidades, es lo único que queda.
 
ESPAÑOL SALVAME!! jaja voy a volver a hablar con mi socio después de esto, ya sus datos me están preocupando...
 
Me está dando miedo. :argh:
 
No hubo errores en la instalación.

Sobre el resto que comentas, creo que no leiste bien el thread...
 
Esto entra a los Google X-Files. </melodíadeXFiles>, ni idea a lo más pienso sería un troyano
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba