Como todos nuestros lectores saben, al menos los que estuvieron con nosotros este ultimo fin de semana y aquellos que han sido victimas de las pantallas «rojas» de google y firefox cuando intentaron entrar a nuestra web en mas de una ocasión, hemos sido victimas de abusos por parte de una vulnerabilidad en uno de nuestros plugins de imagenes, como sé que a nadie le gusta ver estas pantallas y mucho menos a mi, que hube de sentarme incontables horas detrás de la pantalla de mi computadora eliminando hasta la última porción de esta peste, me siento en la necesidad de contarles lo ocurrido para que comprendan el porque pasó y para que vean también lo que hicimos para evitar que esto vuelva a suceder.
Hemos sido victimas del famoso y conocido caso del «timthumb» que es plugin que es parte de Google Code y que se encarga de mostrar parte de las imagenes que ustedes ven dia a dia en nuestros articulos y noticias, este plugin ha sufrido una vulnerabilidad en su codigo que permitía a cualquier atacante solicitar acceso al sistema y así poder modificar archivos del sistema a gusto.
La primer representación de este ataque se dió cuando estabamos actualizando el template, por esta epoca el famoso «counter-wordpres» que es el reponsable aquí de lo sucedido se metió en nuestro sistema, esconciendo codigo en los archivos wp-config.php y wp-settings.php. Este nefasto bicho quedó dormante allí hasta que posteriormente instalamos el WP-SuperCache, una aplicación que acelera la carga de paginas ya vistas por los lectores, para este entonces la pantalla azul mostraba un «script» inserto en la web pero que nos fué imposible identificar ya que eliminabamos el script pero el mismo volvía a aparecer tan pronto activabamos el WP-SuperCache, evidenciando quizas un riesgo de seguridad del plugin.
Lo cierto es, que dado que el script malicioso ya estaba residente en el archivo de configuración de nuestro wordpress, hizo de las suyas sin que pudieramos identificarlo hasta que ayer por la mañana descubrí, bajando la web completa a mi servidor local y analizando archivo por archivo que en efecto allí estaba, habiendo creado un acceso a nuestra base de datos y comprometiendo la instalación de WordPress. Esto le permitió llegar a nuestras claves y poder modificar un archivo de instalación de WordPress que le permitió subir sus «scripts’ y pegarlos «luego» del codigo php. Por esta misma razon no podíamos identificar el origen.
Que es lo que hice para eliminarlo por completo?
-
Recuperación desde un backup
-
Copiar todo a un servidor Local y analizarlo
-
Eliminar toda la web (Portal, Games y Hardware) de Online para evitar infecciones y dejar solo las imagenes y la base de datos.
-
Cambiar todas las claves, SQL, Usuarios Admin, FTP.
-
Eliminar todos los archivos de wordpress de nuestra copia local
-
Copiar una versión actualizada de Timthumb sin la vulnerabilidad de la web oficial de Google Code.
-
Copiar archivos sanos de WordPress de una instalación recien descargada de la web de WordPress oficial.
-
Regenerar un archivo WP-Config.php para cada websites
-
Subir todos los websites compactados con la nueva clave de SQL y activarlos
-
Luego, modifiqué todos los archivos de configuración de wordpress con permisos 400, esto es, solo lectura y solo al usuario.
De esta forma, el maldito patógeno ha quedado por completo erradicado, luego de todos estos pasos esperamos la aprobación de Google que fué exitosa por la noche del Domingo 23 que vendría a ser el Lunes 24 de Octubre a la madrugada.
Esperamos que todas estas medidas hayan reforzado considerablemente a nuestra web, el proximo paso es el de encontrar un plugin que reemplace al actual para librarnos de otra posible «vulnerabilidad» de timthumb que podría afectarnos a un futuro, lo siento google, pero ya no confio en este programa.
Esperamos que todos estos pasos hayan erradicado por completo esta vulnerabilidad, yo como Webmaster estoy completamente seguro que lo hemos eliminado para bien y esperamos que ustedes los lectores sepan comprender que a veces uno hace lo mejor posible pero comete errores y esos errores por mas minusculos que sean, traen consecuencias. Ahora soy mucho mas conciente de lo peligroso que puede ser el mundo de Internet y tomaré medidas mucho mas estrictas de aquí a futuro para con la web, estamos muy agradecidos a todos ustedes de tenerlos como lectores y por supuesto aceptamos críticas constructivas y comentarios que nos quieran hacer al respecto.
Los saluda
Alex Vojacek / CEO – Webmaster
