Llevamos desde el Lunes pasado recibiendo notificaciones de colegas en EEUU que reportan infecciones masivas en Wordpress. Por lo visto, todavía se desconoce el origen del ataque, pero parece ser ajeno a Wordpress, ya que como bien indican en El Pais, si así fuera se habría infectado con mayor rapidez dada la gran popularidad de Wordpress. Por lo tanto, las explicaciones apuntan a que puede tratarse de un plugin, que crea o explota una vulnerabilidad, o que alguien que ha perdido muchas contraseñas… La cuestión es que el ataque no ha sido en un solo servidor privado, sino que en el ojo del huracán han estado algunos de los más famosos proveedores de alojamiento estadounidenses: GoDaddy, Dreamhost, BlueHost y Media Temple.

¿Qué ha pasado?

No hemos visto muchas noticias sobre el tema, por lo que quizá las alarmas empezarán a sonar fuerte durante lo que resta de semana. Muchos expertos analizan ya el problema para tratar de establecer su alcance. Otro indicador que puede esclarecer algunos interrogantes es el hecho de que no hay constancia de ataques a servidores privados, ni a una cosa especifica de una sola empresa. El único punto en común que comparten los sitios infectados era que formaban parte de servidores compartidos. Como hemos comentado antes, el origen del ataque no esta claro y podría ser tanto un ataque de fuerza bruta como en un robo masivo de contraseñas.

Según H Open, los sitios web atacados parecen estar infectados con scripts, que no solo instalan malware en el sistema sino que también evitan que los sistemas de seguridad y alarmas de los navegadores como Firefox o Google Chrome (ambos utilizan Google’s Safe Browsing API) envíen alertas de las páginas infectadas.

Cuándo el robot de Google accede a una pagina infectada, devuelve un código inofensivo. Esta estrategia de camuflaje permite hacer uso maligno del código que normalmente utilizamos los desarrolladores para ejecutar un determinado código en función del navegador que utilize el usuario.

El código malicioso se carga a traves de los siguientes hosts:
- http://www.indesignstudioinfo.com/ls.php
- http://zettapetta.com/js.php
- http://holasionweb.com/oo.php

Solución

Para alegría de todos, David Dede de Sucuri Security nos aporta una solución sencilla y limpia para descontaminar los sitios con Wordpress infectados. Puedes hacerlo a través de SSH o vía web.

Solución para desinfectar los blos afectados vía SSH:

$ find ./ -name "*.php" -type f | \ xargs sed -i 's###g' 2>&1
$ find ./ -name "*.php" -type f | \ xargs sed -i '/./,$!d' 2>&1

Si no puedes acceder vía SSH, puedes subir este archivo a tu servidor y ejecutarlo:

$dir = "./";

$rmcode = `find $dir -name "*.php" -type f |xargs sed -i 's###g' 2>&1`;
echo "Malware eliminado.\n";

$emptyline = `find $dir -name "*.php" -type f | xargs sed -i '/./,$!d' 2>&1`;
echo "Lineas vacias eliminadas.\n";

Seguimiento en la red:

• Sucuri Security
• Wordpress Forums: 2.9.2 site hacked
• Detalles técnicos del código malicioso
• FayerWayer: WordPress bajo ataque a gran escala
• TG Daily: Hackers target WordPress in large scale attack

MÁS ENTRADAS

Una vez más, todos los miembros de Haureal Web Studio aportamos nuestras herramientas favoritas para poderlas compartir con vosotros, y de paso, aprender nuevas cosas que utilizamos aquí y que quizá nunca hubiéramos compartido! Si tenéis cualquier aportación, podéis dejar un comentario y gustosamente modificaremos la entrada para dar cabida a vuestras propuestas. 1.- iStat Pro: Excelente y extenso sistema para monitorizar la mayoría de aspectos del ordenador, procesos en funcionamiento, uso de cpu y memoria, temperatura ... » Seguir Leyendo

Dicen que 2.009 ha sido un año nefasto. Quizá vivimos en otro mundo, pero nosotros no lo vemos así. Por extraño que pueda sonar, y para eso Didac Lee tiene un montón de citas célebres, nosotros no creemos que haya sido un fracaso, más bien al contrario. Creemos que ha sido el año de las oportunidades, el que ha servido para dar paso a nuevas visiones de cómo funcionan las cosas, el que debe despertar las consciencias y hacernos espabilar. Muchas startups se han lanzado a la aventura, algunas con mayor o menor éxito, ... » Seguir Leyendo

Desde Haureal teníamos ganas de hacer un documento colaborativo en el que ir apuntando todos los plugins o addons que tenemos instalados en nuestro navegador favorito: Firefox. Dentro de esta selección hay obviamente plugins especificos para diseño web, pero también hay otros muy útiles que recomendamos encarecidamente. Diseño Web Firebug: El must have de todo diseñador, permite editar código, css y hacer debug de los scripts en javascript. Web Developer: Añade una barra de herramientas llena de utilidades ... » Seguir Leyendo

Por si fuera poco con lanzar nuestra web durante esta semana, también nos hemos atrevido con un proyecto personal de Haureal: Evento Emprendedores. La idea de este portal es sencilla y surge, cómo otras muchas ideas, de la necesidad. Últimamente se han multiplicado las reuniones, mesas redondas, coloquios y demás eventos enfocados en temas relacionados con el hecho de emprender. Este portal pretende ser un punto de encuentro entre los distintos eventos que se organizan a nivel español, para que cualquier persona interesada ... » Seguir Leyendo

Como últimamente venimos haciendo desde la inauguración de Haureal, somos de los asiduos a las reuniones de emprendedores. En esta ocasión estuvimos en el CINC de Barcelona para asistir a Iniciador Barcelona Edición Octubre, con Vicens Castellanos, popular por ser presentador del programa de televisión Ajuste de Cuentas en Cuatro. Se trataron muchos temas relacionados con el emprendedor, Vicens hizo especial énfasis en cuáles son los puntos por los que el emprendedor fracasa o abandona la idea de emprender y qué le ... » Seguir Leyendo

Dando uno de los pasos más importantes que le recordamos a Inditex (uno de los principales distribuidores de ropa del mundo), hace unos días anunció por sorpresa y sin dar apenas detalles, un movimiento estratégico de gran calado: el estreno de Zara en el comercio online a partir de la segunda mitad de 2010. Pablo Isa, vicepresidente de Inditex, confirmo que zara.com se estrenará con la campaña de otoño-invierno 2010 en España, Francia, Alemania, Reino Unido, Italia y Portugal. “Es un paso estratégico importante y ... » Seguir Leyendo

Hello World! Se trata del lema de bienvenida por antonomasia en el mundillo de internet, bien, en el mundillo de la programación en internet. Este es nuestro primer post dentro del nuevo blog de Haureal Web Studio, un nuevo proyecto de jóvenes emprendedores con ganas de hacer cosas (y hacerlas bien!) en internet. Nuestra es filosofía es clara y sencilla: Como comentamos en nuestra página inicial, Haureal Web Studio propone a sus clientes toda clase de soluciones para aplicaciones y páginas web en internet, desarrollando ... » Seguir Leyendo