Com trobar una vulnerabilitat en un web WordPress hackejat

Hacker

Saps treure virus d’un web fet amb WordPress?

Això és un cas real, una mica escurçat. Fa uns dies un conegut em van demanar que si sabia treure virus del seu portal.

– M’ho miro.

Resulta que els de l’alllotjament li havien aturat l’enviament de correus perquè des del seu portal, s’estaven enviant milers de correus. Li van passar una llista d’infectats. Un festival:

Als fitxers hi havia coses com aquesta:

Ves a saber que fa cadascun, una feinada.

Si tens un WordPress has de seguir uns quants consells de seguretat, però és super bàsic tenir-ho tot actualitzat sempre. Amb tanta festa de virus, gairebé era per començar de nou. Després d’esborrar els fitxers malèfics i sobreescriure els originals de WordPress, calia mirar si encara quedaven més fitxers infectats. Per fer això hi ha molt bones eines:

Després de barallar-se amb el max_memory_limit en un servidor compartit, encara van trobar més fitxers que no havien trobat els de l’allotjament. El mateix procediment, esborrar o sobreescriure.

Deixem-ho uns dies a veure

Amb tants virus i bacteris, per no buscar mil agulles en mil pallers, ho vam deixar uns dies a veure que passava. Tres dies i lo mateix. Vam tenir sort, la llista era més curta:

Ara sí, les dates de modificació d’aquests fitxer eren molt properes i després de la neteja, anem a revisar els logs d’accés. Exactament a l’hora de modificació d’un d’ells:

upl.php

Aquest és nou, no l’ha detectat ningú. És que aquest no s’amaga, és un uploader normal! Per això no surt als anàlisis de fitxers infectats.

Aplaudiments

Com ha arribat aquí el uploader? Seguim el fil.

Resulta que a través del uploadify.php han pujat el upl.php. El pujen i fan GET a veure si ho han fet bé. Fantàstic! Apludiments! A més a més del GET, POST, PUT… Haurien de fer un CLAP per aquests casos.

Vulnerabilitat amb l’uploadify.php

Gairebé ja hi som, aquest te pinta de ser un fitxer lícit del tema que hi ha instal·lat. Només cal buscar una mica per Google per veure que amb versions anteriors a la 1.6.1 el tema U-design te una vulnerabilitat. No expliquem més no fos cas que algú s’animi a provar…

Resulta que no hi havia la última versió i com és de pagament, no es podia actualitzar des del mateix WordPress, ara es veu que ja sí que es pot.

Ja ho hem dit, si tens un WordPress has de seguir uns quants consells de seguretat, però és super bàsic tenir-ho tot actualitzat sempre.