Durante el día de hoy hubo epidemia de un problema bastante curioso y preocupante. Varios usuarios han informado de un error mediante el cual todos los enlaces de sus blogs se convertían a un permalink que daba errores, en algunos casos incluso siendo detectados como virus por el software antivirus instalado en los ordenadores de los visitantes.Este Blog tambien fue afectado.

Más o menos lo que pasaba es que los permalinks pasaban de esto:

a esto otro:

o parecidos. Por supuesto, tales permalinks daban error, no mostrando nada al visitante.
 

Pues bien, esto es debido a una inyección MySQL que afecta a varias versiones de WordPress (incluida la actual), mediante el cual se pueden crear usuarios con capacidades de Administrador y hacer lo que quieran con tu sitio. Lo peor es que es complicado de verlo hasta que no te lo encuentras así.

El síntoma más claro, además del cambio de permalinks, es ir a la gestión de usuarios y fijarte si el contador de Administradores muestra un número mayor de los que en realidad hay y puedes ver en la lista. Sorprendente, pues da igual si permites registros o no en tu WordPress, se cuela.

Dirás entonces ¿y como borro un administrador que no veo ni puedo editar?. Afortunadamente se puede, pues ese administrador fantasma tendrá un ID de usuario posterior al último número de ID de usuario que veas (por orden de registro).

Digamos que, por ejemplo, el último usuario registrado, al poner el ratón sobre el enlace para editarlo, muestra esta URL:

Para editar el administrador fantasma copias esa URL y le subes un número al ID mostrado. O sea …

Te encontrarás editando un usuario que no veías y que, ¡sorpresa!, es administrador y tiene un nombre cuando menos extraño, lleno de codigos …

El nombre, como podrás ver, es código nada benigno:

Normalmente no tiene email, le añades un email ficticio al perfil y le degradas a Suscriptor (luego lo borras si quieres, desde aquí o desde la base de datos). Con ese paso ya ha perdido sus derechos de hacer lo que quiera en tu blog, pero el problema no está solucionado, por supuesto.

Como puedes imaginar, lo siguiente que hay que hacer es devolver los permalinks a su estado original, pues estarán cambiados en la página de configuración de Enlaces permanentes. Los cambias de …

a tus permalinks, por ejemplo …

Con esto ya funciona tu sitio correctamente, pero la amenaza sigue.

Hasta que haya una actualización que solucione esto (y si hay solución permanente la desconozco), te recomiendo actualizar a la última versión (no garantiza nada pues está pasando en WordPress con la 2.8.4), cambia todas las claves de administrador y, sobre todo, de la base de datos de tu WordPress, comprueba que los ficheros “index.php” vacíos de tus carpetas (wp-content, etc) realmente están vacíos y no contienen código adicional, comprueba si hay archivos que no deberían estar en tu instalación de WordPress, borra o renombra el fichero xmlrpc.php pues parece ser el principal culpable de dar entrada al problema, revisa con frecuencia la lista de administradores de tu sitio, y vuelve a cargar una versión limpia de WordPress borrando antes todos los archivos que no sepas que los has cargado tu (como la carpeta wp-content o .htaccess).

Más información:

• http://wordpress.org/support/topic/307518/
• http://blog.4rev.net/2009-09/wordpress-hacked-eval-base64_decode-_serverhttp_referer/
• http://www.warriorforum.com/main-internet-marketing-discussion-forum/121131-wordpress-mysql-injection-latest-attack-eval-base64_decode-_server-http_referer.html
• http://www.journeyetc.com/2009/09/04/wordpress-permalink-rss-problems/
• http://lorelle.wordpress.com/2009/09/04/old-wordpress-versions-under-attack/ Lorelle dice que afecta a versiones antiguas pero también está afectando a versiones actuales

Fuente: http://ayudawordpress.com/permalinks-cambiados-a-evalbase64_decode_serverhttp_referer/

Tags: administrador fantasma, código, eval(base64_decode($_server[http_referer], html, mysql, mysql injection wordpress, permalinks, php, problema grave wordpresss, problema seguridad wordpress, seguridad, tutoriales