¿100.000 sitios crackeados al igual que le pasó a Cesarius?
Publicado el Miércoles 22 de Agosto del 2007 @ 1:10 por Armonth.
Hace un rato he recibido un trackback de una entrada titulada Search Engine Marketeers are the new script kiddies hacía la entrada en la que comentaba lo que nos encontramos en Cesarius al optimizar el blog.
El trackback viene a cuento de que el autor se ha encontrado con la misma situación: un crackeo del sitio para insertar enlaces de spam que sólo ven los buscadores. Con la diferencia de que a Cesar Google no lo baneo.
Y a diferencia de mí que me limite a contar la anécdota, presuponer que fue vía bug (de los ya por entonces conocidos) en WordPress y arreglarlo lo mejor posible, actualizar, etcétera, Justin ha mirado por todos los medios de localizar las causas… y al autor.
Justing dispone de un tracker de peticiones basado en Javascript (para que los buscadores no salgan en las estadísticas) que le ha permitido obtener algunos datos realizados justo antes del crackeo de la plantilla.
El atacante se hace pasar por un subdominio de Google que no existe, “rio” seguramente sea su aplicación para crackear sitios, etcétera. Lo interesante viene luego cuando buscando algún código que pueda ser la herramienta (o la base) usada para los ataques llega a un esquema parcial de base de datos para una aplicación SEO/cracking…
Note the AUTO_INCREMENT value for the adv_hosts page: 100,404! From that one could infer that as of July 16, 2007 (when the bug was reported), this guy had already hacked over 100k sites, containing 21,777,537 defaced spam pages. Stunning.
Si esto es correcto, hasta el 16 de Julio — momento en que se reporto el bug en esa aplicación — el pavo habría crackeado más de 100.000 sitios.
Algo que me he fijado que tienen en común Justin, Cesarius y dos de tres sitios más que he conocido es el uso de WordPress 2.1.x y Dreamhost. Pero tal como dice el autor de esa entrada si no es culpa de Dreamhost (no estoy seguro pero al menos uno de los casos que recuerdo si no me equivoco no estaba alojado en Dreamhost) lo siguiente a pensar es que se trata de una vulnerabilidad desconocida en PHP o WordPress.
Sin embargo, el autor se ha encontrado que las veces que se ha actualizado el fichero rq.txt coinciden por fecha exactamente con dos accesos vía FTP por lo que ha decidido deshabilitar el acceso por FTP. Tiene tela el asunto…
5 Comentarios (feed)
-
Cesarius nos comenta:
Hice lo mismo… fuera ftp… y afortunadamente no ha pasado a más… pero este tipo a arrasado! 100K ufffff da miedo.
Gracias por el aviso…
-
Armonth nos comenta:
Cesarius eso me recuerda algo, si aún estás por aquí conectate al jabber :-P
-
alex nos comenta:
La versión del blog al que haces referencia es 2.1 y si no me equivoco, se reportaron problemas serios hasta llegar a 2.2.1, pero ni idea que método habrá utilizado el atacante para obtener acceso a la cuenta FTP.
Personalmente ahora estoy un poco más “tranquilo” con mi blog, ya que tengo acceso a SSH y por consiguiente a SFTP :)
-
Armonth nos comenta:
Corregido Alex (~maldita dislexia~).
-
Sergio nos comenta:
que terrible, a echarle una miradita al blog, gracias Armonth !!
