01-2015 Slider Revolution para WordPress (Vulnerabilidad en el plugin) Algunos Consejos sobre cómo cuidarse del Virus SoakSoak para WordPress: WordPress http://victima.com/wp-admin/admin-ajax.php? action=revslider_show_image&img=../wp-config.php El problema viene generado porque los desarrolladores incluyen este plugin en sus temas premium y el usuario final lo ignora en la mayor parte de los casos. Como éste módulo no tiene sistema de notificación de nuevas actualizaciones, depende del desarrollador estar pendiente de las nuevas versiones para actualizar su tema y esto no es un método eficaz. El Slider Revolution viene incluido en muchos temas comerciales, algunos de ellos que utilizan este plugin son: Es por todo esto que desde el VenCERT te brindamos los siguientes consejos: RevSlider es una vulnerabilidad del tipo LFI (Local File Inclusion), que nos permite ver el contenido de cualquier archivo en el servidor. Aprovechándose de esta vulnerabilidad se puede leer el archivo wp-config.php y obtener las credenciales de las bases de datos de un blog WordPress, tal como se muestra en el siguiente ejemplo: ● ● ● ● ● ● ● WordPress IncredibleWP Theme. WordPress Ultimatum Theme. WordPress Medicate Theme. WordPress Centum Theme. WordPress Avada Theme. WordPress Striking Theme. WordPress Beach Apollo. Los Webmasters de estos sitios web hackeados deben limpiar los tres archivos anteriormente mencionados (swfobjct.swf) debe eliminarse. Encontrar y eliminar todos los backdooors. La vulnerabilidad que poseen estos temas, es un claro ejemplo del por qué nos debemos mantener alejados de las compras de ciertos contenidos y plugins premium en tiendas online. Para este caso el modulo afectado no incluye algún método de notificación de nuevas versiones,y por ende todos los sitios que poseen este plugin se han visto perjudicados por el virus SoakSoak, el mismo utiliza la vulnerabilidad de RevSlider como un punto de penetración y carga una puerta trasera e infecta a todos los sitios web que comparten la misma cuenta del servidor. Actualizar el plugin RevSlider (el cual puede ser una parte de los temas y otros plugins, consultar todos y eliminar lo que no es necesario).Si usted no puede borrar puertas traseras y cerrar el agujero de seguridad, su sitio puede volver a infectarse muy pronto. Para proteger su sitio de el SoakSoak y muchos ataques futuros, lo puede colocar detrás de su Firewall para que este se encarguq de bloquea las solicitudes maliciosas antes de que lleguen a su servidor. SIEMPRE INFÓRMATE. Un usuario informado, es menos vulnerable a los ataques de ciberdelincuentes. @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 01-2015 Slider Revolution para WordPress (Vulnerabilidad en el plugin) De igual manera los sitios web que se encuentren relacionados con el portal afectado, pueden ser infectados por medio de estos dos archivos: ● ● wp-includes/js/swfobject.js en este se añaden un código encriptado el cual carga un script malicioso que redirige a la siguiente ruta: hxxp://soaksoak.ru/xteas/code (Esto es SoakSoak). wp-includes/template-loader.php en este archivo se añade un código que hace que WordPress cargue los archivos swobject.js infectados en cada página. El virus SoakSoak también ha venido evolucionando, y a parte de los dos archivos mencionados en los párrafos anteriores se modifica tambien el swfobjct.swf (creando múltiples puertas traseras en archivos RevSlider vulnerables). ¿Tienes blog WordPress? Si cuentas con un blog WordPress, se puede utilizar la firma de seguridad Securi que ha actualizado su herramienta para comprobar páginas web con la última amenaza que afecta a WordPress. Es muy importante que tengamos en cuenta que de igual manera debemos realizar una revisión a fondo de nuestro servidor, mientras tanto se puede acceder al siguiente enlace para realizar una comprobación online en busca de malware conocido, estado de listas negras, errores del sitio web y software desactualizados: http://sitecheck.sucuri.net/ Fuente: http://www.vozidea.com/vulnerabilidad-en-el-plugin-slider-revolution-para-wordpress http://www.vozidea.com/nuevo-malware-soaksoak-infectando-wordpresshttp://blog.sucuri.net/2014/12/soaksoak-payload-analysisevolution-of-compromised-sites-ie-11.html ¿El malware SoakSoak infecta decenas de miles de WordPress? Se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak. Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos. @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected]
© Copyright 2024