Alt1040 hackeado

Para avivar más el escándalo de los fallos de seguridad en WordPress, luego de ver un post raro en el feed de alt1040 desde el Google Reader me doy cuenta que los hackearon:

alt1040 hackeado

Ya borraron ese post, pero ahora tienen otro post de un gatito muerto y luciendo Kubrick a todo su esplendor:

Alt1040 hackeado alt1040 hackeado

¡Vivan los fallos de seguridad en WordPress!

Edito: Ya regresaron a la normalidad…. me gustaba más con el gatito 😦 BTW: Confirmaron que el problema si fue el fallo de seguridad de WordPress 2.5, resuelto con 2.5.1

¿Aún no has actualizado WordPress?

¿Todavía estás usando alguna versión atrasada de WordPress? No te sorprendas si tu blog resulta con spam links en alguno de los posts, gracias a una reciente ola de ataques a blogs con versiones de WordPress vulnerables.

Recientemente he visto ya varios blogs que han sido victimas de estos ataques, algunos modifican la plantilla que este usando el blog; otros insertan link en un post viejo, tal como le paso a Domain Name News en uno de sus post:

Domain Name News - Spam en el post
(clic para agrandar)

Si van al post no verán los links porque están en un div que los saca de la vista (curiosamente en google reader si se ven) pero que los buscadores si los verán:

<div style="position:absolute; 
    left:-1019px; 
    top:-1390px;">

Si aún no han actualizado sus blogs, a WordPress 2.3.3 o 2.5 será hora de hacerlo antes de que sean los siguientes. Tip: revisen sus blogs via google reader, retrocediendo en los post en la busca de dichos spam links.

PD: Envie un mensaje a Domian Name News, pero parece que no hicieron caso…

Etiquetas: spammers, wordpress, seguridad, vulnerabilidades

WordPress 2.2.3, actualización de seguridad

Acaban de liberar WordPress 2.2.3, un actualización de seguridad. Corrige un fallo de seguridad que afecta a quienes tenga activados los permalinks a funcionar como URLs amigables (la mayoría de blogs). Adicionalmente han corregido algunos otros problemas menores y han aplicado cierta optimización al código.

Si ya tienes WordPress 2.2.2 puedes facilitar la actualización, al subir solo los archivos que han cambiado:

wp-includes/default-filters.php
wp-includes/feed-rss2-comments.php
wp-includes/formatting.php
wp-includes/pluggable.php
wp-includes/plugin.php
wp-includes/query.php
wp-includes/rewrite.php
wp-includes/version.php
wp-includes/widgets.php
wp-includes/rss.php
wp-includes/vars.php
xmlrpc.php
wp-mail.php
wp-admin/admin-ajax.php
wp-admin/admin-functions.php
wp-admin/install-rtl.css
wp-admin/options.php
wp-admin/rtl.css
wp-admin/widgets-rtl.css

Etiquetas de búsqueda: , ,

Agrega tu comentario

Premios Exponet víctima de un Script kiddie

Muchos ya sabrán que los premios de la Arroba de Oro de Guatemala no van más y que los Premios Exponet son su reemplazo, pero tomando en cuenta Estándares Web y buenas prácticas para hacer sitios.

¿Adivinen qué? El Evento del periódico más leído de Guatemala ha sido víctima de un Script Kiddie, tal y como lo señalan Desde Guate y Regile. Alguien les dejo un <script> en un de los sitios enviados a participar, y lo máschistoso aún es que redirecciona a sigloxxi.com (la compe) 😆 pobres la verdad, son los últimos que pueden hablar de prácticas web.

¿Alguien les quiere dar una mano, a que aprendan de practicas Web y diseño de portales? 😀

BTW: El sitio tardó 15 minutos en cargar :S

Cuentas FTP en Dreamhost Comprometidas (lease hackeadas)

No hay como levantarse en la mañana y ver un correo de tu Proveedor de Hosting, Dreamhost, como este:

This email is regarding a potential security concern related to your
‘xxxxxxxxxxxxxx’ FTP account.

We have detected what appears to be the exploit of a number of
accounts belonging to DreamHost customers, and it appears that your
account was one
of those affected.

We’re still working to determine how this occurred, but it appears
that a 3rd party found a way to obtain the password information
associated with approximately 3,500 separate FTP accounts and has
used that information to append data to the index files of customer
sites using automated scripts (primarily for search engine
optimization purposes).

Our records indicate that only roughly 20% of the accounts accessed –
less than 0.15% of the total accounts that we host – actually had
any changes made to them. Most accounts were untouched.

We ask that you do the following as soon as possible:

1. Immediately change your FTP password, as well as that of any other
accounts that may share the same password. We recommend the use of
passwords containing 8 or more random letters and numbers. You may
change your FTP password from the web panel (“Users” section, “Manage
Users” sub-section).

2. Review your hosted accounts/sites and ensure that nothing has been
uploaded or changed that you did not do yourself. Many of the
unauthorized logins did not result in changes at all (the intruder
logged in, obtained a directory listing and quickly logged back out)
but to be sure you should carefully review the full contents of your
account.

Again, only about 20% of the exploited accounts showed any
modifications, and of those the only known changes have been to site
index documents (ie. ‘index.php’, ‘index.html’, etc – though we
recommend looking for other changes as well).

It appears that the same intruder also attempted to gain direct
access to our internal customer information database, but this was
thwarted by protections we have in place to prevent such access.
Similarly, we have seen no indication that the intruder accessed
other customer account services such as email or MySQL databases.

In the last 24 hours we have made numerous significant behind-the-
scenes changes to improve internal security, including the discovery
and patching to prevent a handful of possible exploits.

We will, of course, continue to investigate the source of this
particular security breach and keep customers apprised of what we
find. Once we learn more, we will be sure to post updates as they
become available to our status weblog:

http://www.dreamhoststatus.com/

Thank you for your patience. If you have any questions or concerns,
please let us know.

– DreamHost Security Team

Una palabra: JOOOOOOODER!!! Bueno ni modo a ver que ondas con los sitios que tenemos y a cambiar la clave de las cuentas…. *suspiro* En Technorati ya se pueden leer a los alegres clientes de DH cambiando sus claves.

BTW: Hace casi un año fue la caída masiva de sitios en Dreamhost, como que es de todos los años ver a Murphy paseando por Dreamhost ¿no?

Exploit en WordPress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

WordPress 2.1.3 y 2.0.10

Luego de un mes después de que WordPress sufriera un crackeo y lanzaran una nueva versión de emergencia; hoy llega una nueva versión con bastantes bugs reparados, problemas con XSS y XML-RPC, además de medidas contra futuros problemas. Altamente recomendable que te actualices si tu blog/sitio tiene bastantes enemigos jejeje.

La verdad se tardaron un poco en lanzarla porque los RCs estuvieron listos desde hace muchos días atrás, probablemente el retraso se deba a que tomaron medidas más drásticas contra los hackeos al sitio y un bug de ultima hora. En fin, otro release más, por si quieren aprovechar la baja de tráfico por las vacaciones. Es una suerte que almenos mi blog no lo tenga que actualizar cada mes 😉

Descargar >> WordPress 2.1.3 o bien 2.0.10.

Actualización: Les recuerdo que para fin de mes tenemos la actualización hacia WordPress 2.2. Cuando dijeron desarrollo rápido, no creí que incluyera tantas actualizaciones por mes :S

Etiquetas: , , ,