Cómo hackear un blog: caso práctico hackeando www.javiergarzas.com (1/2)

Como muchos sabéis, la semana pasada este blog estuvo fuera de servicio, fue hackeado. Antes de nada, aprovecho para agradeceros los exactamente 33 correos, varios tuiteos, y dos llamadas telefónicas de lectores avisándome de que algo iba mal.
Si te gusta la tecnología y las novelas de intriga, te animo a que sigas leyendo, voy contarte la historia de cómo sucedió de la manera más comprensible. Los hechos sucedieron así…
Como podeis ver abajo, en el pantallazo del Analytics, los hechos ocurrieron la semana del 4. Y ya que había pasado, y como «no hay mal que por bien no venga», he aprovechado el parón para cambiar el look and feel, limpiar todo, mejorar el tiempo de respuesta, etc. Y, despues de estudiar muchas ofertas y quedarme sorprendido de que hay pocas opciones serias y reales cuando pasa algo como esto (este tema lo dejo para otro post), abandonar el hosting de goddady.

analitycs hackeo

Como es lógico, el primero que empezó a sospechar de algo raro fue este que aquí escribe. El lunes 4 de febrero, me levanté como de costumbre, entorno a las 6:15 am., animadamente a escribir notas, post e ideas.
Al abrir el portátil, lo primero que me encontré fue un aviso de uno de los sistemas de seguridad del blog, alertándome de que ciertos ficheros habían sido modificados, posiblemente con código malicioso.
Inmediatamente fui a ver qué tenían estos ficheros, y en casi todos los .php encontré algo bastante raro y sospechoso. Empezaban así…

codigo-0

Para evitar que Google se mosquee con este post, y piense cosas raras de él y de mi, pondré el código sólo en imagenes, y he dejado solo un pequeño extracto, la serie real tenía 2690 caracteres.
Los más duchos en estas batallas ya se habrán percatado de que lo anterior es una función php que decodifica una serie de letras y números que están en base 64, para así ser ininteligibles, he intentar que no te des cuenta de qué son.
Para los que se os haya olvidado de la carrera, base 64 es la mayor potencia de 2 que puede representarse usando únicamente los caracteres ASCII. Y por ello históricamente se ha usado para ofuscar y codificar código.
Podría haber dejado aquí de investigar, y haberme centrado sólo en resolver el problema. Pero, picado por la curiosidad, decidí dedicar un par de horas al tema, y descubrir que había dentro…
Para decodificar el código en base 64 utilicé Tareeinternet, obteniendo de la anterior sucesión “algo más legible”…

codigo-1

El anterior es sólo un extracto del real, resumido. Pero fijaos en algunas lindezas en el anterior código, como #rror_r#porting(cero) que desactiva los errores de php. Cómo detecta si el usuario tiene Windows y usa el Explorer, etc.

Y como, de nuevo, en la última línea, tiene un script codificado en base 64, que esta vez usando la web Base 64 decode se convierte en

codigo-2

Otro acertijo más. Esta vez es un array que hay que parsear en base 24 (igualmente os he resumido en la anterior imagen los 3313 caracteres), y cuyo resultado es un JavaScript.
El último código a decodificar, última puerta, y que guarda el corazón y verdadero objetivo del malicioso código…
Os dejo mañana la segunda parte de este post.

16 comentarios en “Cómo hackear un blog: caso práctico hackeando www.javiergarzas.com (1/2)”

  1. Pingback: Bitacoras.com

  2. Hola Javier, me alegro de que ya estés de vuelta. La verdad es que no entiendo como puede haber gente que se dedique a estas cosas. Ya nos dirás manana qué intentaron sacar con ello.
    Un abrazo.
    P.D. El look and feel del blog me gusta mucho más ahora. Tendré que pegarle un vistazo a los enlaces. Si encuentro algo te cuento!

  3. Hola Javier, soy seguidor tuyo desde hace tiempo, normalmente sólo leo pero hoy con lo que dices de Goddady me has dejado preocupado ya que tengo un dominio allí. Por qué crees que es culpa de Goddady este tema?
    Gracias por anticipado.

    1. Hola,
      Si tienes un dominio no tienes que preocuparte, realmente los problemas (en goddady y cualquier otro) vienen de los hosting.
      En mi caso, primero me cortaron el hosting, y luego, tiempo después, cuando pregunte qué pasaba me contestaron cuál era el problema.
      Saludos

  4. Una pregunta: ¿Te han podido colar el gusano por no actualizar el wordpress o porque tu anterior hosting era demasiado permisivo con lo que se puede hacer?
    PD: La lectura del blog ha ganado muchos enteros con el cambio de tema.

  5. Buen momento para cambiar el look&feel 🙂
    Tuviste suerte Javier tanto de que te avisasen como de los avisos de los plugins de Seguridad de WP y haber actuado rápido antes de haber caido en la lista negra de SafeBrowsing.
    Este tipo de sucesos es lo más corriente hoy en día, con millones de sites y blogs (no digo que este sea el caso) descuidados, hay un gran mercado negro que se aprovecha de todo ello. Es por ello que lancé este servicio para concienciar en la seguridad de los sitio web:
    http://desenmascara.me
    De cualquier forma, espero el siguiente post para conocer más datos sobre el suceso 🙂
    Saludos y mantén el buen trabajo.
    Emilio

  6. Hola, necesito ayuda, hace unos 3 o 4 años cree un blog, con fotos mias semidesnuda, con nombre falso, el caso es que no recuerdo los datos de acceso, estoy desesperada, he denunciado el blog por su contenido varias veces, pero no lo eliminan. Me pueden ayudar porfavor?

  7. Hola Javier, encontre tu blog por casualidad y me preguntaba si hubiera alguna forma de poder conseguir un blog en el que una persona te echo de él.
    Yo era la unica administradora del blog pero hace poco me meti en mi perfil de blogger y ya no salia mi blog en él. Es injusto ya que llevo mucho tiempo en él y no se como recuperarlo. Si puedieras ayudarme en esto te agradeceria mucho.. espero tu respuesta via gmail
    Gracias de antemano. Shori

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This
Ir arriba