Si tienes un WordPress o estás en un hosting compartido en el que hay un WordPress, debes tener mucho cuidado con un ataque que se está produciendo masivamente contra ellos. Todo el problema se debe a un fallo de seguridad de tipo RFU (Remote File Upload) en un popular plugin de WordPress llamado MailPoet usado para gestionar listas de correo en el framework.
| Figura 1: MailPoet para WordPress |
Los creadores del plugin lanzaron una actualización el 1 de Julio, con la versión 2.6.7 de MailPoet que solucionaba un serio bug de RFU en el plugin bajo una Critical Update. El día 4 tuvieron que actualizarlo a la versión 2.6.8 de porque no estaba correctamente solucionado pidiendo disculpas por el bug que ya estaba siendo explotado. Pero el gran problema es que muchos usuarios no actualizaron su plugin cuando salió esta actualización.
Según Daniel Cid, de Sucuri, el ataque de RFI comienza con la subida de una plantilla mailiciosa que actúa como WebShell al sitio que se instalar dentro de /wp-content/uploads/wysija/themes/mailp/ con el que toma control del sitio. Desde ahí, infecta el resto de los temas del sitio y crea un usuario administrador llamado 1001001 dentro del sitio. Si en tu sitio web ves un error similar a este, es más que probable que estés infectado.
Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php
Figura 2: Error que puede significar que estás afectado por este ataque.
Si tienes un WordPress o en tu hosting hay un sitio con WordPress, ten cuidado con la información que hay allí. En primer lugar actualiza éste y todos tus plugins. Asegúrate de tener una política de actualizaciones que te permita evitar estas situaciones en el futuro. Fortifica tu servidor *NIX* y Apache para evitar la carga remota de código en PHP y revísate las opciones de fortificación de WordPress para mitigar ataques en el futuro.
Saludos Malignos!
via Un informático en el lado del mal http://red2.es/1pe6ipl
