Blogs Used for Indexing Spam Sites
Translate this page to english
Hace no mas de dos semanas, empecé a observar que el blog de un amigo se comportaba de forma extraña: Cuando hacÃa un post, este se visualizaba bien pero a los dos dÃas desaparecÃa el contenido y después de otros dos dÃas regresaba. Esto se lo comenté a mi amigo y al analizar el contenido del post pudimos observar que al final concatenaron cientos de links a otros sitios con un estilo que los ocultaba. Algo parecido a esto:
<u style=display:none><a href="http://www.sitiofueradecontexto.com/event/?p=292">http://www.sitiofueradecontexto.com/event/?p=292</a> irssa
<a href="http://www.sitiofueradecontexto.com/event/?p=8306">http://www.sitiofueradecontexto.com/event/?p=8306</a> nmeathgCnApiue
<a href="http://www.sitiofueradecontexto.com/event/?p=216">http://www.sitiofueradecontexto.com/event/?p=216</a> ipNm
<a href="http://www.sitiofueradecontexto.com/event/?p=7207">http://www.sitiofueradecontexto.com/event/?p=7207</a> Peh
----- 300 lineas mas ---
</u>
Lo curioso es que las ligas no se ven dentro del post y al ingresar a una de las ligas encontré lo siguiente:
Pero si nos vamos a la raiz de la URL vemos un sitio totalmente diferente! Imaginen mi cara mientras sale de mi boca un ¿Qué es lo que está pasando?
Resulta que los spammers están hackeando sitios para meter spam de los diversos temas que ya sabemos. Estoy de acuerdo, esto no es nuevo, pero está empleando una vulnerabilidad en los blogs para meter ligas apócrifas para que google las indexe y sean encontradas. Esto no lo he visto publicado en otro lado, pero si me equivoco, plz, dejen la liga en un comentario para complementar este post.
Para muestra un botón
Si buscamos la URL en google podemos ver lo siguiente:
Si nos vamos a una de las ligas que nos muestra Google, por ejemplo http://www.15digitalmarketing.co.uk/articles/ podemos ver la siguiente página:
Si analizamos mas detenidamente el código HTML del sitio podemos ver los siguiente:
http://www.hartoftheapple.com
Cómo vemos, las ligas apuntan a http://www.hartoftheapple.com que es un sitio que no tiene absolutamente nada que ver con la venta de medicinas pero que ha sido comprometido y que está alojando sitios de Spam sin saberlo y a lo mejor hasta de Phishing.
Regresemos al sitio al que se le ha inyectado el código y analicemos un poco mas del código fuente HTML de la primera página y observaremos mas código inyectado pero a otros sitios!
Conclusión
Lo métodos de los spammers se han vuelto cada vez mas complejos, desde insertar la publicidad en documentos PDF para brincarse los filtros hasta lo que estoy presentando hoy. Estos usuarios maliciosos del Internet están vulnerando la aplicación WordPress para inyectar su código, pero lo mas interesante es que lo hacen con sumo cuidado para no ser descubiertos. Hace casi diez años, cuando empezaba con mi carrera de informática, se podÃa ver que el comprometer sitios era vandalismo sin sentido que buscaba el reconocimiento y respeto de sus compañeros de team. Al parecer estos mismos script kiddies han crecido y han hecho de esta carrera delictiva un negocio remunerado y ligado al crimen cibernético, no todos sientan cabeza y se apegan “al sistema”, se dedican a comprometer sitios, crean botnet y cuando menos tiene una una infraestructura sólida para realizar delitos mas fuertes como el robo de identidad y el fraude electrónico.
Si eres un blogger y usas el sistema de WordPress es importante que lo actualices en este momento. Puedes seguir la guÃa en la siguiente página y te vas a ahorrar varios dolores de cabeza. Muchas veces no es el sistema de wordpress sino los plugins de terceros que instalamos, como le pasó a PHP BB por lo que es importante actualizar estos también.
Si crees que tu sitio ha sido comprometido, las buenas prácticas dictan, parchar el sistema operativo, reinstalar todo desde un respaldo limpio, cambiar todas las contraseñas y restringir el acceso a usuarios sospechosos hasta que se recupere el control. Si eres como muchos que no hacen respaldo (mal muy mal) si es bueno reinstalar el código del portal, y revisar en scripts código malicioso y archivos extraños y/o ocultos, al igual que el cron.
No sé en que acabe esto pero está muy interesante. A estas alturas ya todos los sitios que se analizaron han sido notificados sobre su posible comprometimiento y este post se va derechito al Cert de la UNAM.
Adrián Puente Z.Technorati Tags: Adrian Puente Z., Hackarandas, hackarandas.com, blogs, spammers, spam, hacking, hack, nuevos metodos de spam, blogger, blog
Ya lo notificaste a los desarrolladores de WordPress? Tienes datos de si la vulnerabilidad se corrige en la version actual de WP? Existe la palabra “comprometimiento”?.
Muy buen post, felicidades y gracias por el aviso.
Saludos
Si, ya lo notifiqué via twitter a @markjaquith, también a @rboren y a @photomatt que son parte del staff de desarrolladores. Estoy esperando su respuesta.
No, no los tengo, pero si te puedo corroborar que los sitios analizados tienen versiones ya viejas de WordPress (entre la 2.2 y la 2.5) y el blog de mi amigo ya fue actualizada a la última que es 2.7.1 y no han vuelto a suceder un incidente.
Comento sobre una excelente herramienta que encontré para escanear vulnerabilidades del WordPress WordPress Scanner que te checa los mÃnimos de seguridad de un blog en lÃnea.
Y si, la palabra comprometimiento si existe, cito desde la página de la RAE:
Saludos,
Adrián Puente Z.