Siguen las vulnerabilidades en WordPress 2.6.2

Septiembre 26, 2008 a 11:07 am · Archivado en actualidad, noticias, seguridad ·Etiquetado , , , , , , , , , ,

Buenas,

quiero poner en conocimiento de todos aquellos que utilicéis WordPress que el famosillo ataque de “yourneeds.info” que se supone que era una vulnerabilidad del WordPress 2.5 y que estaba corregido posteriormente se sigue produciendo.

Ayer vuelvo a detectar en la tabla de usuarios el usuario fantasma “WordPress” con permisos de administrador. Acababa de ser creado porque el id que tenía era posterior a un usuario que acaba de registrarse:

cabron-user-db

Bien, borro esta entrada y todas las asociadas a este usuario de la tabla “usersmeta” (que es donde tienen asignados los privilegios de administrador).

Miro en la tabla options la opción active_plugins y efectivamente hay un plugin falso que referencia a un fichero del sistema:

cabron-active-plugins

Quito de esa entrada el nombre del plugin falso y lo localizo en el sistema de ficheros… cuando abres este fichero es una parafernalia de código comentado y aparentemente sin sentido pero camuflado entre este código comentando aparece esto:

cabron-contenido-fichero

Ejecuto ese SELECT en la base de datos para ver lo que es y luego borro esa entrada:

cabron-entrada-rss

Todo eso es lo que recomiendan hacer ante estos ataques aparte de estas recomendaciones o éstas o estas o bien éstas

El caso es que seguí investigando para ver si habían modificado más cosas y efectivamente veo que el fichero xmlrpc.php tenía fecha del mismo día. Lo edito y comparo con la versión original del WordPress y premio ! … El fichero ha sido modificado en la línea 27 haciendo uso de una llamada a la función mysql_escape_string supongo que para hacer uso de técnicas de SQL injection o algo similar:

cabron-xmlrpc

Echadle un vistazo a este fichero porque si lo tenéis así en esa línea yo os recomendaría que lo pusieráis como lo trae WordPress por defecto, claro.

Y quiero decir que según el plugin WP Security Scan que utilizo hace tiempo se supone que tengo bien establecidos los permisos de los ficheros y directorios y otras cuestiones que ayudan a protegerse como que no exista el usuario “admin” que pone el WordPress por defecto, que los prefijos por defecto de las tablas estén modificados, etc… pero nada, aún así parece que siguen colándola.

Visto en: Chorradas que llegan al email

Dejar un comentario