Hace un rato he recibido un trackback de una entrada titulada Search Engine Marketeers are the new script kiddies hacía la entrada en la que comentaba lo que nos encontramos en Cesarius al optimizar el blog.
El trackback viene a cuento de que el autor se ha encontrado con la misma situación: un crackeo del sitio para insertar enlaces de spam que sólo ven los buscadores. Con la diferencia de que Cesar tuvo suerte y Google no lo baneo.
Y a diferencia de mí que me limite a contar la anécdota, presuponer que fue vía bug (de los ya por entonces conocidos) en WordPress y arreglarlo lo mejor posible, actualizar, etcétera, Justin ha mirado por todos los medios de localizar las causas y al autor.
Justin dispone de un tracker de peticiones basado en Javascript (para que los buscadores no salgan en las estadísticas) que le ha permitido obtener algunos datos realizados justo antes del crackeo de la plantilla.
El atacante se hace pasar por un subdominio de Google que no existe, "rio" seguramente sea su aplicación para crackear sitios, etcétera. Lo interesante viene luego cuando buscando algún código que pueda ser la herramienta (o la base) usada para los ataques llega a un esquema parcial de base de datos para una aplicación SEO/cracking...
Note the
AUTO_INCREMENTvalue for the adv_hosts page: 100,404! From that one could infer that as of July 16, 2007 (when the bug was reported), this guy had already hacked over 100k sites, containing 21,777,537 defaced spam pages. Stunning.
Si esto es correcto hasta el 16 de Julio, momento en que se reporto el bug en esa aplicación, el pavo habría crackeado más de 100.000 sitios.
Algo que me he fijado que tienen en común Justin, Cesarius y dos de tres sitios más que he conocido es el uso de WordPress 2.1.x y Dreamhost. Pero tal como dice el autor de esa entrada si no es culpa de Dreamhost (no estoy seguro pero al menos uno de los casos que recuerdo si no me equivoco no estaba alojado en Dreamhost) lo siguiente a pensar es que se trata de una vulnerabilidad desconocida en PHP o WordPress.
Sin embargo, el autor se ha encontrado que las veces que se ha actualizado el fichero rq.txt coinciden por fecha exactamente con dos accesos vía FTP por lo que ha decidido deshabilitar el acceso por FTP. Tiene tela el asunto...
Comentarios