Consejos para quitar malware de WordPress

ByLuis

No es la primera vez que me toca buscar malware en algún WordPress, y la verdad, suele ser un dolor de cabeza. Básicamente usan dos funciones: eval y base64_decode. Con eval nos meterán el código malicioso, que estará codificado en base64 para evitar que lo encontremos fácilmente.

Si tenéis acceso al SSH del servidor, una llamada a find . -name '*.php' -exec grep -l 'base64' {} \; suele bastar para encontrar este tipo de llamadas, o buscar eval en vez de base64.

Desgraciadamente esto no siempre funciona, ya que la función eval puede estar codificada de la siguiente forma:

$foo = "b"."a"."s"."e"...;
$code = 'ev'.'al($a);';$s = create_function('$a',$code);

Otro punto a tener en cuenta es la posibilidad de que hayan modificado el código de nuestro WordPress, lo cual se puede solucionar reinstalando el WP desde el admin. Aunque también pueden haber modificado el wp-config.php e incluir un fichero php que aparenta ser de WP (normalmente metindo en la carpeta wp-includes) pero que no lo es. Por lo cual es recomendado comprobar el wp-config.php con cualquier versión en local.

A parte de todo esto, es importante el tema de los permisos de los ficheros, etc…

Actualización 29/05/2015: también es aconsejable buscar esta cadena \142\x61\163\145\66\x34\x5f\144\x65\143\x6f\144\145, ya que al hacer un echo nos devuelve la función base64_decode.

Actualización 02/07/2015: buscar también la cadena \x65\x76\x61\x6c, ya que devuelve la función eval.

Similar Posts

MemProxy: proxy con PHP y memcached

ByLuis

MemProxy es un script PHP sencillo pero potente, que nos permite tener un servidor proxy de peticiones web y cachea los contenidos en memcached. Tan solo es necesario PHP5.2, la extensión PECL para memcache, servidor web con capacidad de re-escritura y memcached.

En el siguiente ejemplo:

$backend_array = array(
"www.example.com" =>
array(
array("app1.example.com", 80),
array("app2.example.com", 80),
array("app3.example.com", 80),
),
"another.example.com" =>
array(
array("app1.example.com", 8080),
array("app2.example.com", 8080),
array("app3.example.com", 8080),
),
);

las claves de los arrays (www.example.com y another.example.com) son los host names de los sitios en los que se quiere hacer proxy. MemProxy usará el valor de HTTP_HOST para determinar la clave. Esto sería como un hosting virtual basado en nombres.

MemProxy

|

MagpieRSS: RSS para PHP

ByLuis

MagpieRSS es un parser de RSS para PHP, que entre otras características tiene:

  • Admite la mayoría de los formatos RSS, incluyendo soporte para módulos 1.0.
  • Integra Object Cache, lo que significa que la segunda petición es más rápida.
  • HTTP GETs condicionales, no desperdicies ancho de banda y velocidad en la descarga usando Last-Modified y ETag.
  • Configurable y modular.
  • Admite autenticación HTTP y SSL.
  • No usa fopen(), funciona incluso cuando allow_url_fopen está desactivado.

MagpieRSS

|

CMS Made Simple: crea páginas de forma sencilla

ByLuis

cmsmadesimple1.pngCMS Made Simple, como bien indica su nombre, es un CMS para PHP que nos permite crear un sitio web de forma rápida y sencilla, y poder gestionar igualmente sus contenidos. No es tan solo rápida la realización de páginas, sino el aprendizaje de la utilización de la aplicación, la gestión es muy intuitiva y además permite añadir nuevos módulos para ampliar las funcionalidades del sistema.
cmsmadesimple2.png
Entre las características generales nos encontramos con lo que normalmente tienen los CMS: url friendly, modular y extensible, ACL, contenido jerárquico, administración multi-idioma, accesibilidad WAI y WCGA, XHTML/CSS, plantillas Smarty y mucho más.
CMS Made Simple
Vía / Tripix

HTML Purifier 3

ByLuis

htmlpurifier.pngHTML Purifier es un filtro en PHP que elimina código XSS de HTML y hace que sea estándar. Acaba de sacar la versión 3.0 y entre las novedades nos encontramos con:

  • Requiere PHP5.
  • Las propiedades CSS no son sensibles a mayúsculas o minúsculas.
  • Elimina las etiquetas <style> (necesita CSSTidy).
  • Mejoras en el motor de estilos.

HTML Purifier

Nueva versión de XDebug

ByLuis

xdebug.pngXDebug acaba de sacar una nueva versión. Para aquellos que no lo conozcan, se trata de una extensión que permite depurar tus scripts PHP debido a la cantidad de información que ofrece:

  • Trazas, con parámetros que admiten funciones definidas por el usuario, muestra el nombre de la función, del archivo y el número de línea.
  • Asignación de memoria.
  • Protección contra recursividad infinita.

La nueva versión ofrece muchas mejoras y nuevas funcionalidades: mejoras en las trazas, enviar las trazas a ficheros, depuración remota y una documentación reescrita.

XDebug

Vía / PHPDeveloper.org

|

Evitar Cross-Site Request Forgeries en PHP

ByLuis

Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica bien).

Este ataque se produce cuando a un usuario se le conceden permisos, confiando en él, pero no teniendo en cuenta que otra gente pueda aprovecharse de ello. Supongamos que tenemos una página de compra de artículos, cuya aplicación controla perfectamente los campos de entrada y que tiene una función que realiza la operación de compra de artículos.

Tenemos el formulario HTML:

<form action="compra.php" method="POST">
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>

El primer fallo que solemos cometer es leer las variables de entrada mediante $_REQUEST:

<?php
session_start();
if (isset($_REQUEST['articulo'] &&
isset($_REQUEST['cantidad'])) {
compra($_REQUEST['articulo'],
$_REQUEST['cantidad']);
}
?>

Una forma muy utilizada para realizar un ataque y que al autor del artículo le gusta mucho, es mediante el uso de una imagen:

<img src="http://ejemplo.org/compra.php?articulo=CAFETERA&cantidad=1000" alt="ads" />

Con esto conseguimos que el usuario que visita nuestra página tambien haga una petición a la página en cuestión sin que él lo sepa, claro, que esto solo funciona si el usuario a la vez tiene una sesión abierta en la página que se está atacando.

La solución es añadir una marca formada por un número “encriptado” y un tiempo para que tenga que renovarse esta marca. La marca se debe crear y pasar en el formulario por el que se envían los datos y a parte se debe controlar su existencia, si coincide y si no ha superado el timeout.

<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>
<?php
if ($_POST['marca'] == $_SESSION['marca']) {
$diferencia_tiempo_marca = time() - $_SESSION['tiempo_marca'];
if ($diferencia_tiempo_marca <= 300) {
/* Menos de 5 minutos */
}
}
?>

Artículo original: Security Corner: Cross-Site Request Forgeries

Vía / backdraft