El Rincón del Geek y el Fallo de Seguridad

Posteado por Randall Flagg el Mayo 24, 2009

La semana pasada el Rincón pasó por algo seguramente imperceptible para todos: Un ataque al sitio gracias a su vulnerabilidad. El día que empece a decirle a un par de amigos para revisen el post Brütal Legend, algunas personas me dijeron que el Eset Antivirus les saltaba dando el mensaje de un tryano. Y bueno, lo primero que pense fue: El sitio no puede estar infectado, si es que el server de Dreamhost está sobre Debian Linux.Y si, el sitio no estaba infectado el server, pero si el sitio. Como los antivirus ven los sitios y prestan atención a como estos se muevan, ahí fué cuando salto el antivirus. Lo primero que pense fue que algunos JavaScript estaban  ya moviendose mal. Sabiendo claro que tenia un javascript dentro del sitio que tenia Bugs. Procedí  a deshabilitar mi nueva sidebar, que es un plugin del Wordpress. Listo, ahi ya no marcaba virus.

Listo, me habia tranquilizado, hasta que un amigo, @crodas, me dice que alfinal del sitio habia pequeño <iframe>. Si bien yo habia visto que en el pie de la pagina habia algo raro, culpaba a mi CSS del sitio. Luego note que iframe me mandaba al sitio donde dice el mensaje del antivirus de la imagen de cabecera. Demonios! el sitio recibio una infiltracion por algún lado.

De ahí emepece a deshabilitar todos los plugins, como loguearse con el OpenID o con Twitter. La cosa estaba en ver donde estaba el problem ahora. Mucha vueltas di y nada, y parecia que el culpable era el plugin wp super cache que le habia instalado al sitio. También lo habia deshabilitado por si acaso.

Fijandome en el template del Rincón, no vi en ningun lado ese iframe insertado. Nada. Ya tenía en meten venir a casa y rehacer el template.

Lei sobre varios fallos de serguridad por comentarios y demas, pero nada. Pasando querys por la base de datos para buscar la frase “iframe” no funcionaba. Ya me estaba frustrando, no sabia donde estaba el exploit. Fue ahi cuando lei sobre el Exploit Scanner, un plugin para wordpress que analiza todo lo que trabaja con tu sistema operatvo y todo lo que quiere hacer algo raro.

Entonces, le pase al sitio ese “antivirus” y listo, me empezaron a sacar varias cosas que contenian el iframe. Ahora ya tenia idea de donde podian estar. Ahí note los extraño: Mi busqueda del Exploit la estaba haciendo en el lado incorrecto, ya que el Exploit Scanner sugeria la direccion index del sitio. Osea, no estaba en el template, sino que el motor o Core de Wordpress. Se inyecto hasta ahi.

La cosa mas simple fué resinstalar el wordpress y listo. No habia mas problemas. Ahora el sitio esta 100% funcional de nuevo, y sin nigun problema.

¿Pero como se que no volverá a pasar?

No se. Hasta ahora todo esta en orden. El sitio no presenta ningun bug en los  codigos ni los Javascripts. Todo corre en orden. La bara lateral fue actualizada con otra cosa y quedo hasta mejor.

Posibles cosas que causaron el Exploit son: el wp super cache. Cosa que ya se que no es, porque escribiendo a la gente de soporte de ese plugin me dijeron que ellos ya solucionaron ese problema.

La otra era el plugin de la barra lateral, que es lo mas provable, ya que me causo varios problemas desde el inicio.

Desde ya pido muchas disculpas si es que a alguien le marco que el Rincon tenia virus. Ya no pasará.

Agradecimientos a @tetsumo @crodas @troyano @diegoplus por axuliarme con lña noticia o con lo que sea. Más aún a @tetsumo por la imagen de cabecera.

Post Relacionados

• Curso de CSS para Diseñadores – No sabías que esto era así de jodido #twpy
• La DigiEvolution del Rincón con 6 nuevas formas de loguearte!

Enterate más del autor Randall FlaggcloseAutor: Randall Flagg Nombre: Randall Flagg
Sitio: http://randallflagg.myid.net/
Descripción: I'm into all geek stuff... RPG, Movies, Comics, Anime, APP, Linux, technology, books, music... etc. Thats what my blog is about, all those geeks stuff.Ver Posts del Autor (436)

Clasificado como Historia del Hongo Salvaje | Deje un Comentario

Comentarios

Sindicalización

MÁS FEEDS