SEO Spam en los feeds de WordPress

Seguramente si algunos de ustedes estaban suscriptos a este blog a través del feed rdf habrán notado que en el ultimo tiempo entre los posts de este blog se recibían algunas actualizaciones con gran cantidad de spam y pese a buscar y rebuscar no encontré la solución hasta que hoy Esteban y Juan de SomosWP lo han solucionado.... y acá cuentan como lo solucionaron.

Estuvimos durante algunos días revisando el código de todos los archivos involucrados en la generación de los feeds sin encontrar nada extraño. Por lo que pasamos a revisar todos los archivos php del sitio para encontrar código ajeno a las funcionalidades instaladas y fue en esta búsqueda donde encontramos algunos archivos ocultos dentro de la carpeta de plugins que contenían varios cientos de lineas de código comentado y dentro de los comentarios se encontraba un código php descomentado que hacia un llamada a la base de datos, mas específicamente a la tabla wp_options. [Haciendo click aquí pueden bajar uno de los archivos para ver como se esconde el codigo.]

Fuimos a la base de datos en busca de la entrada a la cual se referenciaba en el PHP cuyo nombre comienza con rss_f541 y encontramos dentro de la misma gran cantidad de código encriptado que era el que en definitiva producía el problema en el feed RDF.

Finalmente borramos todos los archivos ocultos que encontramos dentro de la carpeta plugins y realizamos un grep en el servidor buscando determinadas cadenas de texto para ver si había mas copias del archivo, efectivamente encontramos algunas por fuera de la carpeta /wp-content/plugins las que también eliminamos. Según las pruebas que realizamos durante la tarde de hoy el problema en los feeds rdf no se ha vuelto a repetir, pero si vuelven a verlo, por favor tengan a bien hacérnoslo saber.

Dos pequeños detalles;

a) mi blog no es un blanco llamativo y pocas veces uno usa el feed RDF para suscribirse con lo que, sinceramente, jamás me hubiese dado cuenta del problema si no los revisara cada tanto...
b) por otro lado, en general soy de respetar las normativas de seguridad (de hecho si sos autor en este blog cambiá tu clave HOY mismo) y de usar siempre versiones actualizadas (fuck, si hasta Matt me hizo un cron para actualizar!)

así que te sugiero revises tus feeds y si encontrás el problema releas lo que hicieron los chicos y lo soluciones porque eso esta afectando tru tráfico.

| Seguridad Weblogs
Tags:
hacking seo Spam