WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack
WordPress es un CMS para blogs muy extendido, y como tal, la plataforma ideal para que hackers con malas intenciones intenten entrar en tu blog y comprometer el contenido enlazando a sus sitios para mejorar su posicionamiento en buscadores o para lograr atraer a visitantes incautos a sus webs.
Estas últimas semanas le tocó pasar el mal trago a Mariano Amartino en su blog Uberbin.net, un blog muy conocido, con un pagerank alto y por tanto un objetivo apetecible.
En este caso, el pharma hack lo que hace es modificar el contenido generado dinámicamente por WordPress cuando el visitante es Google Bot (indexador de google), con lo que no se muestra a los usuarios normales. Modifica el contenido de la página introduciendo enlaces a sitios del hacker y modificando elementos del html como el título de la página, etc.
A continuación puedes ver el resultado que devuelve google cuando el sitio ha sido comprometido:
Además, el hack se ubica en múltiples archivos del wordpress de forma que si se localiza un fichero que ha sido hackeado, es capaz de seguir afectando y de volver a introducir el código en otro ficheros o regenenar nuevos ficheros con el hack. Toda una odisea para poder recuperar el sistema a su estado original y estar seguros que el hack ha sido eliminado.
Se puso en contacto con nosotros para que le ayudáramos a eliminar el hack y como ni mucho menos es el único blog en esa situación (sólo basta darse una vuelta por los resultados de google y ver que existen infinidad de sitios con WordPress que han sido hackeados) pongo a continuación los pasos que se dieron para conseguir restaurar la calma en uberbin.net (y en Mariano)
- En primer lugar, realizamos una instalación de WordPress independiente, limpia, desde cero.
- y como no sabíamos si el origen del problema venía de un sistema comprometido (estaba en Mediatemple en un hosting compartido) cambiamos a un servidor dedicado que tenía Mariano disponible en otro proveedor (Hispaweb)
- El nombre o url del blog puede ser diferente y luego cambiarla. El blog original (hackeado) tiene la URL www.uberbin.net y durante toda la instalación del nuevo blog usábamos por ejemplo www2.uberbin.net
- Se instalan en el blog nuevo los mismos plugins que en el blog original. Teniendo cuidado de bajarlos de wordpress.org directamente ya que no vamos a copiar absolutamente ningún fichero de código PHP del blog original (hackeado)
- Se configuran los plugins en el nuevo blog siguiendo la configuración del sitio original. Esto es importante para poder importar todos los campos meta del wordpress original como veremos en los siguientes pasos. En caso de no hacerse así perderíamos registros y configuraciones del blog original.
- Se configuran las mismas opciones en el blog nuevo que teníamos en el blog original (permalinks, media, opciones de comentarios, etc.)
- Se exporta el contenido del blog original en XML en el menú Herramientas / Exportar
- Se revisa ese fichero XML para comprobar que no exista código del hacker. Se realizan búsquedas sobre el código para analizar llamadas a scripts o de código en base64 (buscamos llamadas a la función base64_decode por ejemplo). En el caso de uberbin no había código de este tipo en las entradas.
- Se importa el fichero XML en el nuevo blog en el menú herramientas / importar / wordpress.
- Se copian los archivos del directorio wp-content/uploads del blog original al blog nuevo teniendo mucho cuidado en no copiar archivos PHP y de que todas las imágenes sean realmente imágenes
- Cambiamos el nombre y url del blog nuevo al del blog original.
- Modificamos DNS’s para que apunten al blog nuevo.
No son pasos demasiado sencillos aunque tampoco es algo que requiera de unos conocimientos técnicos muy elevados. Sobre todo es un trabajo que te llevará varias horas, así que paciencia. En el caso de Uberbin que tiene más de 5.000 entradas costó unas 5 horas todo este proceso.
Y una vez terminado, recuerda seguir los consejos que nos dan desde WordPress para hacer más seguro tu blog.
15 Comments
Pablo on Junio 5th, 2010
Gracias por el dato estaremos atentos y en caso de estar infectados ya sabremos como solucionarlo ;)
Week-Log.362 on Junio 5th, 2010
[...] Fernando Serer y como me resolvieron el Pharma Hack 2.0 (que es una versión más elusiva que el anterior… y no pude resolver ni con 3 installs, estoy seguro hay una vulnerabilidad en Mediatemple! [...]
Adrián Ramiro on Junio 5th, 2010
Realmente un trabajo de hormiga, paso a paso completamente de cero.
Me surge una pregunta, como puedo detectar si soy víctima de un hack similar?
Saludos
La semana en los blogs CCXIII | RSS Tecnología on Junio 6th, 2010
[...] Fernando Serer y la “autopsia” de un hackeo de blogs en Wordpress. [...]
Fernando Serer on Junio 6th, 2010
Adrián,
Si el tráfico te baja de forma considerable puede ser un motivo.
Si te avisan desde google de la eliminación de tu sitio del índice de google también. Los avisos los envían a través del Google Webmaster Tools.
Pero sobre todo si en las SERPs ves resultados de tu blog con esos títulos ;-)
Para verlo en la caja de búsqueda de google introduce site:www.tu-blog.com y verás los resultados de tu blog.
Y espero que no te ocurra ;-)
sobre tecnologia » Blog Archive » La semana en los blogs CCXIII on Junio 6th, 2010
[...] Fernando Serer y la “autopsia” de un hackeo de blogs en Wordpress. [...]
wp-popular.com » Blog Archive » Fernando Serer » WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack on Junio 6th, 2010
[...] this article: Fernando Serer » WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack Tags: hacker, [...]
wp-popular.com » Blog Archive » Fernando Serer » WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack on Junio 6th, 2010
[...] this article: Fernando Serer » WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack Tags: hacker, [...]
Fernando on Junio 6th, 2010
Fernando, esto me pasó con varios clientes en VPS y compartidos de Mediatemple, GoDaddy y otros, y comenté en el blog el hack este de las narices. Has hecho bien en cambiar de servidor, el verdadero culpable, por no tener protegidas las carpetas.
Solo te apuntaría a que el hack no es para WordPress sino para cualquier web basada en PHP ;)
Fernando Serer on Junio 6th, 2010
Pues ese post tuyo se me escapó ;-)
Si que vi el de zettapetta pero no es el mismo hack que este, aunque más o menos vengan a fastidiar lo mismo :-)
Lo que comento al final del post es lo que hay que recomendar a todo el mundo, más vale prevenir que curar!
Publicidad en Internet » La semana en los blogs CCXIII on Junio 6th, 2010
[...] Fernando Serer y la “autopsia” de un hackeo de blogs en Wordpress. [...]
Adrián Ramiro on Junio 6th, 2010
Gracias Fernando, te comento, que como menciona Fernando (AyudaWP), el hosting mucho tiene que ver. Tengo un blog que fue objeto de un ataque en el hosting anterior (VPS) muy similar a este, solo que agregaba muchos links al final y era visible para todos. Tenía casi todos los plugins infectados y archivos agregados con otro id de usuario de sistema, así que estimo que por el lado del servidor vino el inconveniente. Ahora estoy en KnownHost y usando el firewall CFD, no he vuelto a tener problemas pero siempre es mejor adelantarse, sería muy desagradable (y costoso) recibir un mensajito por Webmaster Tools de que nos borran el sitio del índice.
de la red – 6/06/2010 « Tecnologías y su contexto on Junio 7th, 2010
[...] WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack (…) En este caso, el pharma hack lo que hace es modificar el contenido generado dinámicamente por WordPress cuando el visitante es Google Bot (indexador de google), con lo que no se muestra a los usuarios normales… [...]
Carlos on Septiembre 3rd, 2010
Está bien hecho el truco ese.. seguro que hay gente que tarda meses en darse cuenta.
Tweets that mention Fernando Serer » WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack -- Topsy.com on Junio 5th, 2010
[...] This post was mentioned on Twitter by mariano amartino, Fernando del Pozo and Fernando Serer, Guillermo M. Zamora. Guillermo M. Zamora said: interesante, la primera vez que escucho hablar de #pharmahack http://bit.ly/c3KzFH [...]