El Tamiz

Antes simplista que incomprensible

Aviso para Wordpresseros

Llevamos un par de días malos, malos, ya que nos “colaban” enlaces chungos en la página, y por más que la devolviéramos a su estado prístino original, se volvían a modificar los archivos. Escribo esta breve anotación por si a alguno os pasa algo parecido a lo nuestro (ahora explico cómo saber si es lo mismo), de modo que podáis darnos un toque y os podamos ayudar con ello. Hemos echado un ojo a las páginas amigas que solemos visitar y parecéis estar limpios, por cierto, u os hubiéramos avisado.

Básicamente, si usas Wordpress y miras el código fuente de cualquier página y aparecen multitud de enlaces ocultos a sitios poco recomendables, para saber si el ataque es el mismo que hemos recibido nosotros, revisa los logs de Apache y busca “fonction.php”. Si lo ves, es que te lo han colado –como a nosotros– aprovechando una vulnerabilidad de Wordpress. No voy a explicar aquí lo que hemos hecho para defendernos, porque es mejor no hacerlo y porque es un rollo, pero si compruebas que te ha pasado esto, danos un aviso y te ayudamos en lo que podamos. (Por ahora, cruzamos los dedos, parece que estamos curados).

Esto no es una solución para evitar que te pase lo que a nosotros. La solución para eso es muy fácil: mantén Wordpress actualizado. A nosotros nos pasó porque, durante las vacaciones, no mantuvimos la página en la última versión… y eso se paga. El objetivo de esta entrada es intentar ayudarte si ya te han calzado el archivo fonction.php, para que no estés solo durante la limpieza posterior. Si sabes lo más mínimo de servidores y/o php, seguro que no necesitas ninguna ayuda, pero algunos de nosotros estamos más perdidos que un pulpo en un garaje con estas cosas, y tener alguien que te eche un cable siempre está bien.

Posted by Pedro Gómez-Esteban Blog

9 comentarios

De: shakaran
2009-08-24 23:00:40

Hubiese preferido ver una buena explicación de como solucionarlo, es más hubiese quedado constancia para futura gente a la que le surja el problema.

PD: No es mi caso y no se me ha dado la vulnerabilidad, pero siempre esta bien conocerlas.


De: Pedro
2009-08-25 06:37:32

shakaran, tal vez sea una tontería, pero prefiero contar la solución en privado (por e-mail) a quien haya tenido precisamente este problema: de ahí que ponga la manera segura de identificarlo.

Ya sé que la probabilidad de quien haya creado el script lea nuestra triste solución y se le ocurra cómo saltársela no es grande (para empezar, no creo que hable castellano), pero ¡al enemigo, ni agua! Ya estoy hablando por e-mail con un par de personas que pueden haber tenido el mismo problema.


De: myself
2009-08-25 07:33:58

Es una mala práctica hacer ese tipo de ocultamientos. Si quieres ayudar, envía el reporte del incidente a los desarroladores de Wordpress con tu solución. Si es necesario parchear el sistema de blogs, lo harán.

Te aseguro, los que realmente se dedican a hacer este tipo de ataques, sabrán saltar las posibles soluciones. Las muestres o no. Lo mejor, es que todos los que puedan ser ayudados, sean ayudados para hacerles el trabajo más complicado a los que tienen mucho más tiempo para desarrollar cualquier malware.

Uno de los errores más graves de los desarroladores de software es crear un falso sentido de seguridad por ocultamiento de las vulnerabilidades. Ocultar tu solución, no evita que la salten. Por el contrario, mientras más personas la sepan, más opciones hay de que alguien de variantes y la optimice.

¿No te gustaría que los de Wordpress, decidieran enviar las actualizaciones sólo a los que secretamente les piden ayuda, o sí? Eso es Open Source: todos sabemos, todos ayudamos.


De: Juanex
2009-08-25 08:16:11

Hay que estar un poco atento para evitar estas cosas, un buen sitio para visitar cada día es la lista del NIST sobre vulnerabilidades.

Esta publicada el día 18 de agosto:

Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-form-comment.php, (5) edit-link-category-form.php, (6) edit-link-form.php, (7) edit-page-form.php, and (8) edit-tag-form.php in wp-admin/.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2853


De: Pedro
2009-08-25 10:05:28

Juanex, sí, el problema son las vacaciones. Estuvimos un mes sin poder actualizar El Tamiz... y pasa lo que pasa si no lo tienes al día. Wordpress es lo que tiene (entre otras muchas cosas, pero eso es harina de otro costal). ¡Gracias por el enlace al NIST!

myself, creo que no me he explicado bien, y en un momento edito la entrada para que sea más clara. La solución para evitar este ataque es muy simple: mantén Wordpress al día. A nosotros nos colaron el código porque no teníamos el sitio actualizado. De modo que, aunque tuviera un parche para Wordpress (y no lo tengo, porque nuestra "limpieza" no ha involucrado parchear nada), sería inútil enviarlo, porque la vulnerabilidad ya ha sido solucionada hace bastante tiempo (sólo que nosotros utilizábamos una versión antigua). Esta entrada no es útil para que nadie evite este problema.

De lo que hablo en la entrada es de arreglar el desaguisado una vez te han "colado" el archivo fonction.php. La solución no parchea nada, y no es de utilidad para absolutamente nadie que no haya sido infectado por fonction.php, ni evita en modo alguno la vulnerabilidad (que ya no existe en Wordpress 2.8.x). De ahí que explique cómo identificar el problema y, si efectivamente ése es el problema concreto, ofrezca mi ayuda para intentar resolver el entuerto.

Te aseguro, los que realmente se dedican a hacer este tipo de ataques, sabrán saltar las posibles soluciones. Las muestres o no. Lo mejor, es que todos los que puedan ser ayudados, sean ayudados para hacerles el trabajo más complicado a los que tienen mucho más tiempo para desarrollar cualquier malware.

Es posible que sepan saltárselas, pero tú mismo dices que es mejor hacerles el trabajo complicado. Explicando en una entrada lo que hemos hecho para limpiar el entuerto (que no es nada del otro mundo, pero bueno) no hago pública ninguna vulnerabilidad que no se sepa desde hace semanas (y que ha sido corregida ya), y hago un poquito más fácil el trabajo al responsable. Explicándoselo por e-mail a quien ya ha sido víctima de esto (y que es el único que puede beneficiarse en modo alguno de mis consejos)... ¿qué perjuicio ocasiono a nadie? ¿Que, en vez de leer el texto, tenga que darme un toque para que hablemos e intentemos solucionar su embrollo juntos? De verdad, no entiendo el problema.

¿No te gustaría que los de Wordpress, decidieran enviar las actualizaciones sólo a los que secretamente les piden ayuda, o sí?

Sigo pensando que no me he explicado bien en la entrada, así que no voy a contestar a esto por ahora, porque creo que responde a algo diferente de lo que yo pretendía decir. Si una vez que leas este comentario sigues considerando esa pregunta relevante, la contesto.


De: Cinquetto
2009-08-25 13:57:46

"y por más que la devolviéramos a su estado prístino original"

Y cambiando de tercio, así en plan brasas: ¿No son redundantes esas dos últimas palabras?


De: Pedro
2009-08-25 14:07:37

Cinquetto, era un intento de añadir un tono ligero y un poco de humor a una noticia poco agradable y aburrida.


De: Cinquetto
2009-08-25 15:26:44

Vale, vale. Con este calor las sutilezas me pasan como un avión de caza. :)


De: Ricardo
2009-09-29 10:05:33

Un consejo: buscad también un fichero llamado wp-links.php


Escribe un comentario

Todos los comentarios deben ser aprobados por un moderador antes de ser publicados. Si quieres puedes usar markdown. Todos los campos son opcionales excepto el cuerpo del comentario, claro:

Nombre:
E-mail: (privado, para que aparezca tu gravatar)
Sitio web:

« Durante la semana #27 - Hermann Emil Fischer El Homo neanderthalensis »