Carnavals from Hell

clownEntérate de como sucedió el ataque. No se si algunos se enteraron del ataque que recibimos acá en el Blog durante los carnavales. Pero si no te enteraste acá te muestro lo que sucedió y como fue corregida la falla ademas de algunas medidas que debemos tomar para asegurar nuestro WordPress sin necesidad de plugins ni programas extras. Bueno aquí vamos:

Bitácora del Admin

Viernes 8/02/2013 18:00 horas

Ultimo chequeo del Blog antes del Ataque.

Sábado 9/02/2013 11:00 horas

Mi primo Alan se acerca y le digo que le mostrare algo… introduzco en la barra de navegación BLOG.RERSC.COM  entro al Blog… me consigo esto en la pagina principal:

Pantallazo-2
Cualquiera entraría en pánico… pero yo no (pueden preguntarle a mi primo).  Recargue la pagina varias veces para certificar, y si! era el Blog infectado y la familia estaba haciendo una parrilla y ahora tenia que arreglar esto. Realmente el manejo de WordPress no es algo a lo que yo le preste mucha importancia me gusta como herramienta si por que es buena, pero al mismo tiempo por ser tan popular los fallos son mas conocidos… Bueno ya esta infectado vamos a ver que paso; El peor de los escenarios es que se hallan robado todos mis archivos y la base de datos y solo este esta pagina sola en todo mi directorio web.

Bien entro al panel de administración del dominio seguido al administrador de archivos para localizar esta pagina que suplanta la principal pero cuando entro a www/ veo unas carpetas extrañas que yo nunca había puesto allí  yo lo que pensé fue nada, ME CARGARON UN FRAMEWORK desde arriba y desde allí aplicaron todo lo demás .. PERO COMO?  pensé . . . en eso recordé que hace unos días y por FLOJO por que eso no tiene otro nombre decidí que aumentaría el tamaño de los archivos que podían subirse vía PHP desde el PHP.INI lo subí a 40M todo para no tener que abrir el Filezilla y pasar las cosas por FTP (desde el trabajo estoy detrás un firewall no puedo pasar por el puerto 21 a ningún lado) para luego moverlas al directorio de WordPress (se dan cuenta que flojo trabaja doble LOL).

Sábado 9/02/2013 14:00 horas:

Luego de las primeras revisiones y respaldos de los archivos infectados y carpetas sospechosas (para revisarlas mejor mas tarde), ya estaba reconstruyendo el sitio (obvio que luego del backup borre las carpetas extrañas)  la base de datos estaba intacta así que puse de nuevo el sitio al aire. Claro con algunas medidas tomadas:

file_uploads = Off
max_file_uploads = 0K
post_max_size = 0K
upload_max_filesize = 0K
memory_limit = 1M

* La modificación del archivo PHP.INI que estaba permitiendo los 40M de carga vía PHP (UPLOAD VIA HTTP) a 0K  de carga.

* Cambio de prefijo de todas las tablas de la base de datos de WordPress de WP_ a una secuencia aleatoria que no revelare.

* Cambio del HASH del wp-config.php de esta las cookies activas pierden efecto, ademas se forza a todos los usuarios a autenticarse nuevamente en el sistema, este ultimo paso utilizando el servicio de claves secretas de WordPress.

*/
define(‘AUTH_KEY’, ‘`.Qyi<:f>]_)6u=30R(C||[,cLE);
define(‘SECURE_AUTH_KEY’, ‘g7/2z?Hl,O(,$AO|@jGN);
define(‘LOGGED_IN_KEY’, ‘&so5$$5H3@;F]~>^kjsdh’);
define(‘NONCE_KEY’, ‘;1:+>Ut_+xL[x%P}(749HB~W}’);
define(‘AUTH_SALT’, ‘^xeb=j]2!#gbTic*rloj·$!%!’);
define(‘SECURE_AUTH_SALT’, ‘<P.ASDASDA”·D-1&O>’);
define(‘LOGGED_IN_SALT’, ‘XhbwCNideh` !.~GS]vR’);
define(‘NONCE_SALT’, ‘Le0)|HE^(Uz*xl<ing9-“”·”‘);

/**~#@€~#@#/

* Cambio de claves de usuarios, servicios FTP y correo del blog.

* Permisos de solo lectura UNIX style (444) al archivo PHP.INI del directorio raíz.

Sábado 9/02/2013 18:00 horas:

Restablecí el servicio completamente y listo, no pensé que el ataque había llegado tan lejos y que al tener dificultades probablemente se rendirían y pasarían a un blanco mas interesante … como que se yo la pagina web de la SCIENTOLOGY. BOY I WAS WRONG . . . (but not so much).

Domingo 10/02/2013 12:00 horas:

Me levante el domingo un poco tarde, me pare de la cama bostece y vi la computadora puesta allí en suspención… como diciéndome “Anda ven a revisar…” No resistí así que abrí la tapa de la portátil PAF PAF PAF a la barra de espacio… Despierta Rápido! desbloquee, abrí el navegador, entro BLOG.RERSC.COM esperando ver todo en orden cuando nuevamente me consigo con la pagina principal inyectada DEMONIOS!!  No ce por que me sentí como en la escena de la autopista en Matrix 2 cuando los gemelos están siendo AGRAVIADOS lo recuerdan?.

Domingo 10/02/2013 14:00 horas:

Volví al panel de administración esta vez verifique las horas en que los atacantes estaban activos durante las 23,00,01 horas, probablemente están dormidos justo ahora pensé….  a menos que estén participando en una especie de Teleton!!! o algo!! … eso me da algo de tiempo para apretar mas todo y pensar una estrategia. Probablemente ustedes ya están pensando que nada de lo que se hizo anteriormente tuvo efecto pero si lo tuvo, cuando entre al administrador de archivos me di cuenta que las carpetas extrañas ya no estaban esto por que ya no había posibilidad alguna para cargar vía PHP – HTTP al menos allí  Pero cuando revise el panel del blog como tal me di cuenta que el se estaba permitiendo los 2M de carga que WordPress pone por defecto. . . F u c k .  . .

Domingo 10/02/2013 15:00 horas:

Nuevas medidas:

* Ya para esta hora el blog estaba arriba otra vez. Actualice el WordPress casi que a la versión de desarrollo.

* Nuevo archivo de PHP.INI en el directorio wp-admin/ negando la absoluta carga de archivos vía PHP – HTTP (La misma config de arriba).

Permisos de solo lectura a todos los archivos clave de WordPress y a los ficheros PHP.INI.

Permisos de solo lectura 444 a index.php en wp-content/

Domingo 10/02/2013 16:00 horas:

Debo pensar algo mas y si esto no funciona? que es lo que no estoy viendo? … no se me ocurría nada… DEBO COMER!.. comí algo y dije… no puedo pensar aquí tengo que salir … salí a patinar un rato… estuvo bueno me distraje pero seguía sin saber que mas hacer… me atormentaba la idea de que mientras estoy patinando quizás ya andan haciendo de las suyas…. PERO COMO VAN A SUBIR LOS ARCHIVOS AHORA COMO? . . . No way . . . Not possible . . .

Domingo 10/02/2013 19:00 horas:

De regreso en la casa, volví a comer . . .  mire el reloj umm son las siete . . .  Entonces me llego LAS ESTADÍSTICAS !!! . . . claro,  entre al panel de administración busco las estadísticas del sitio el día del ataque y que CARAJO ES ESTO???

face

 Existen estadísticas de unos subdominios que yo jamas cree entro a verlas y me consigo con esto:

tunisia

Seguí revisando las estadísticas y encuentro otros países visitando estos subdominios fueron en total como 14 visitas registradas con tráficos de algunos Ks excepto el visitante de Tunisia que traspaso en total como unos 4M. Pero estas estadísticas me proporcionaron una lista de IPS que luego procedí a bloquear de manera tal que no puedan ni ver el sitio web por que son consideradas hostiles. CLARO QUE BORRE LOS SUBDOMINIOS DE INMEDIATO.

Domingo 10/02/2013 23:00 horas:

Tanto silencio… Algo no anda bien… estoy allí mirando la pagina de monitoreo del sitio (you know just waiting). Mientras tanto reviso un poco los archivos que me dejaron mis amigos una canción de Rap que esta vinculada al archivo infectado (index.php) la sustraje del servidor, que les digo que hasta me gusto la pueden escuchar aquí mismo (después me entere que parece ser una canción de anonymous). Ha por cierto revisando mas allá me encontré con esas lineas hacia PAYPAL están redireccionadas desde este sitio web adivinen de donde es de Tunisia anda entra y lo ves, seguro que ya han visto la cara de este simpático viejito mexicano (solo digo que parece Mexicano aunque pudiera ser Venezolano o que se yo… pero no ce por que se me hace mexicano) :

iforex

Bueno así que ya saben no ce que clase de operación hace IFOREX o FOREX o XFOREX pero no cuenten conmigo. Todavía estoy revisando quizás actualice el post con mas detalle. Conclusiones manténganse up to date con la versión de WordPress,  creen el archivo PHP.INI negando la carga de archivos dentro <wp-admin>, el prefijo de las tablas es un detalle extra que no cae mal, permisos de lectura únicamente a los archivos importantes. borren el archivo de instalación de WordPress. Hagan un Backup de su DB y de su carpeta de WordPress periódicamente y todo estará bien sera hasta otra entrega nos vemos. Rafael E <rafuch0> Rumbos S.

2 thoughts on “Carnavals from Hell”

Leave a Comment