WordPress: Drama de malware por un bug RFU en MailPoet

Si tienes un WordPress o estás en un hosting compartido en el que hay un WordPress, debes tener mucho cuidado con un ataque que se está produciendo masivamente contra ellos. Todo el problema se debe a un fallo de seguridad de tipo RFU (Remote File Upload) en un popular plugin de WordPress llamado MailPoet usado para gestionar listas de correo en el framework similar al que se produjo hace un mes con otro plugin también en WordPress.

Figura 1: MailPoet para WordPress

Los creadores del plugin lanzaron una actualización el 1 de Julio, con la versión 2.6.7 de MailPoet que solucionaba un serio bug de RFU en el plugin bajo una Critical Update. El día 4 tuvieron que actualizarlo a la versión 2.6.8 de porque no estaba correctamente solucionado pidiendo disculpas por el bug que ya estaba siendo explotado. Pero el gran problema es que muchos usuarios no actualizaron su plugin cuando salió esta actualización.

Según Daniel Cid, de Sucuri, el ataque de RFI comienza con la subida de una plantilla mailiciosa que actúa como WebShell al sitio que se instalar dentro de /wp-content/uploads/wysija/themes/mailp/ con el que toma control del sitio. Desde ahí, infecta el resto de los temas del sitio y crea un usuario administrador llamado 1001001 dentro del sitio. Si en tu sitio web ves un error similar a este, es más que probable que estés infectado.

Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php

Figura 2: Error que puede significar que estás afectado por este ataque.

Si tienes un WordPress o en tu hosting hay un sitio con WordPress, ten cuidado con la información que hay allí. En primer lugar actualiza éste y todos tus plugins. Asegúrate de tener una política de actualizaciones que te permita evitar estas situaciones en el futuro. Fortifica tu servidor *NIX* y Apache  y revísate las opciones de fortificación de WordPress para mitigar ataques en el futuro.

Saludos Malignos!

En Julio tampoco voy a ir a la cárcel por ti

Llevo un mes de Julio revuelto en cuanto a peticiones de hackeo extrañas, ilegales o sospechosas. No paran de llegar porque han visto buscando en Google la demostración de robar las contraseñas de Facebook con el Bridging HTTP(IPv6)-HTTP(IPv4), o porque han leído el artículo de "Cómo espiar WhatsApp", o cualquier otro artículo que les viene al pelo, como el de Cómo meter un troyano en iPhone o Cómo espiar un Android con un Troyano y no les viene un paso a paso de cómo hacer para espiar el número de alguien.

Por desgracia para ellos, todos los artículos tienen un enfoque técnico y se les falta el "step by step", así que directamente piensan que me pueden pedir que cometa yo SU delito. A todos les contesto con un sencillo "No te puedo ayudar en estas cosas", pero la verdad es que entre toda la vorágine de correo, acaban cansando un poco.

Aquí va una nueva remesa de peticiones **solo de lo que va en este mes de Julio** que he seleccionado. No están todas, ya que también me llegaron algunas por Twitter, e incluso algunas por teléfono que habían conseguido por algún amigo común con engaños al amigo común. 

Figura 1: 1 de Julio - Robar un WhatsApp

Figura 2: 2 de Julio - Espiar un WhatsApp

Figura 3: 8 de Julio - Hacker una cuenta de Facebook

Figura 4: 11 de Julio - Espiar un WhatsApp

Figura 5: 11 de Julio - Hackear un servidor de juegos

Figura 6: 12 de Julio - Hackear una cuenta... ¿de Facebook?

Figura 7: 13 de Julio - Hackear el Gmail de su hermano

Figura 8: 17 de Julio - Espiar el Whatsapp de su novia

Figura 9: 18 de Julio - Espiar el Line o el Gmail de una persona con iPhone

Figura 10: 21 de Julio - Espiar el WhatsApp de su novia

Figura 11: 22 de Julio - Hackear el Facebook y troyanizar un PC

A partir de ahora, creo que voy a empezar a contestar en los correos y mensajes copiando a mis amigos de Grupo de Delitos Telemáticos de la Guardia Civil, para ver si empiezan a entender la gravedad de los delitos que intentan cometer.

Saludos Malignos!