Sobre eval(base64_decode($_SERVER[HTTP_REFERER]
7 de Septiembre de 2009 
5 Comentarios
El viernes 4, mediante un tweet de Fernando Tellado llegaba al problema que al otro día poco más de media blogósfera se haría eco, se trataba de un problema de inyección sql que afectaba supuestamente a todas las versiones de WordPress, luego esto se desmintió y parece ser que la última versión (2.8.4) estaría fuera del problema.
Pronto salió una solución temporal, y otra
Yo como quería saber como era el ataque des-actualizé un par de sitios para tratar de “estudiar” y entender mejor el ataque, pero hasta ahora no he tenido suerte y siguen bien.
Ayer jessica comentaba en twitter que le habían atacado el blog, entonces le pregunte por gtalk que pasaba y era el problema arriba mencionado.
Después de varias vueltas pudo crearme un usuario administrador para que pudiera ver que pasaba.
Resulta que el blog tenía una versión vieja de wp, ya que al querer actualizar daba problemas.
Jessi cambió los permalinks mientras yo me metía en la base de datos, ahí me encontré con varias curiosidades.
* La fecha de creación de los administradores fantasmas era la misma que la del admin original.
* Los nicks de los admins tenían que ver con el nombre del administrador, y uno tenía el mismo e-mail.
* otras que no me acuerdo.
También había un usuario que se llamaba “WordPress”, que tenía varios campos en blanco y era administrador.
Hice backup de la tabla de usuarios y empezé a eliminar de a uno, ya que yo tenía miedo de que los id`s estuviesen cambiados y que el id 1 sea un admin falso.
Luego que elimine los usuarios traté de actualizar el blog, como me dió errores y estaba cansado dejé la actualización para hoy “cuando me levantara”, a la mañana me levanté y actualizé sin problemas.
Un par de consejos que puedo darle a alguien que tiene el problema con esto:
- Volver los permalinks a como estaban antes de la intrusión.
- Obviamente actualizar URGENTE.
- Eliminar los administradores falsos desde phpmyadmin.
- Revisar el theme.
Y los consejos que escribí el otro día.
Yo sigo sin tener claro si la 2.8.4. está afectada o no, en wordpress.org han dicho que no pero en el trac han dicho que sí. ¿Sabes algo al respecto?
Hola David, yo creo -y quiero creer- que en verdad no es vulnerable, si no ya nos hubiesemos enterado, yo de todos los sitios que tengo no tuve ningún problema con ninguna versión, igualmente voy a modificar el archivo con la versión del trac.
Qué curioso ver el problema desde adentro :O
Con WP 2.8.4 no hay riesgos. Es lo que dijo Matt Mullenweg
Y gracias a su curiosidad, Neri me termino salvando la vida… GRACIASSS =)
Aca
http://ayudawordpress.com/permalinks-cambiados-a-evalbase64_decode_serverhttp_referer/#comment-39433
(es en el primer link de este mismo articulo) dejan a su vez otro link al trac de wordpress donde se habla de este error. Según dice ahí mismo, esta recién solucionado a partir de la 2.8.5
http://core.tracwordpress.org/ticket/9602
Aunque también se puede parchear el 2.8.4 para corregir este error
http://core.trac.wordpress.org/attachment/ticket/9602/9602.patch