Shared by eszpee
wordpresszesek, nézzetek szét otthon!

Ma reggel az alábbi levél fogad:

Kedves Oldalgazda, Webmester!

Webhelyének indexelése közben észleltük, hogy egyes oldalai olyan technikákat használnak, amelyek nincsenek összhangban a webmestereknek szóló minőségi irányelveinkkel: http://www.google.hu/webmasters/guidelines.html. Ennek oka az, hogy oldalát külső beavatkozás és módosítás érte. Általában a támadó egy olyan nem biztonságos mappába jut be, melynek hozzáférési jogai nyitottak. A legtöbb esetben állományokat töltenek fel, vagy meglévő állományokat módosítanak, melyek így spam-et képeznek az indexünkben.

Első körben megnéztem, hogy vajon nem-e valami siheder szórakozik velem. Kiderül, hogy nem, ugyanis a Plastik.hu címlapja végén az alábbi linkek találhatók, amennyiben a böngésző user-agent string a Googlebot:

Az érdekes az, hogy a nevezett naturemoms.com lap nem spammer site, ahogy gondolnánk, hanem ugyanúgy victim, mint én. Írtam is a site tulajdonosának, felhívva erre a figyelmet. Persze fogalom nélkül volt. Remélem van elég expert tudás a birtokában, hogy megoldja magának.

A megcibált blogra onnan lehet ráismerni, hogy “Googlebot” user agenttel megnézzük annak tartalmát:

curl --user-agent Googlebot plastik.hu

El kell ismernem, hogy egy a 2.3.3-as verzió után nem frissítettem 2.5.1-re a Plastikot kiszolgáló Wordpress motort. Ezt ma este megtettem azonnal egy db és admin jelszó módosítás keretén belül. Külső szakemberek, így fds, nrg és maz segítségét is igénybe kellett vennem ehhez a tényleg alattomos és sunyi exploithoz.

A megismeréshez szükséges háttér:
http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/

Rövid leírás:

We been hit by hidden spam link injection (a modified version of goro spam injection), this crack injects spam links through wordpress wp_footer() or wp_head() hook. The spam links only reveal itself if crawled by search engine bot such as googlebot, and they are hidden from our eyes.

Affected files can be any where, they probably have a common name, but crackers may change the name patterns any time for the next attempt.

Az említett oldal (keltezés: május 26!) segítségével le tudjuk ganézni a hacket. Sajnos nem egyszerű, mert az SQL táblába műti bele magát a kis szemét BASE64 kódoltan (hogy ne keresshessünk egyszerűen), illetve a WP mappán belül is szétszórja a “hacker framework”-jét, amit szintén törölnünk kell.

Nem elég tehát egyszerűen upgradelni a Wordpresst, kézzel kell lépésenként végiggyalulni az adatbázist és a fileokat, hogy végre eltűnjenek a spam pagerank linkek.

A Wordpress wikipedia szócikke is arra mutat rá, hogy nem jó blogging platform a rossz architektúra miatt:

Vulnerabilities

BlogSecurity currently maintains a list of WordPress vulnerabilities.[8]

In January 2007, many high-profile Search engine optimization (SEO) blogs, as well as many low-profile commercial blogs featuring Adsense, were targeted and attacked with a WordPress exploit.[9]

A separate vulnerability on one of the project site’s web servers allowed an attacker to introduce exploitable code in the form of a back door to some downloads of WordPress 2.1.1. The 2.1.2 release addressed this issue; an advisory released at the time advised all users to upgrade immediately.[10]

In May 2007, a study revealed that 98% of WordPress blogs being run are exploitable.[11]

In a June 2007 interview, Stefen Esser, the founder of the PHP Security Response Team, spoke critically of WordPress’s security track record, citing problems with the application’s architecture that make it unnecessarily difficult to write code that is secure from SQL injection vulnerabilities, as well as other problems.[12]

Legyen az eset intő példa minden Wordpresst használó kollégának. Mindig frissíteni kell a népszerű motort, adott esetben másra áttérni.