Pages Menu
Categories Menu

Posted by on Feb 12, 2013 in General | 2 comments

Cómo hackear un blog: caso práctico hackeando www.javiergarzas.com (2/2)

Continuando con el post de ayer sobre el hackeo a este blog, el último script codificado dentro del malicioso código contenía un array que hay que parsear en base 24, y cuyo resultado es, esta vez, el siguiente JavaScript:

codigo-3

Para jugar con Javascript yo utilizo http://jsfiddle.net/ o http://jsbin.com, y para desofuscar, es decir, ordenarlo un poquito para leerlo mejor, http://jsbeautifier.org/, porque el código original estaba en un par de líneas.

El código crea un Iframe (incrusta un documento HTML) en una posición no visible. Y al final acaba dejando una cookie en los visitantes de la página (ver la última línea) que usen Windows e Internet Explorer. Aparentemente parece que la idea es cazar la sesión del usuario.

Hay un caso documentado, bastante similar, en Stackoverflow.

Aún me queda (lo tengo apuntado) revisar los logs del servidor para ver desde que IP fue el ataque y por donde entro, aunque tengo alguna sospecha, pero lo dejaré para un estudio más detenido.

Moralejas, reflexiones y lecciones aprendidas

– ¿Podría haberse evitado? Como comentaba en Twitter, es imposible evitar al 100% un ataque y al final a casi toda web con tráfico le acaba pasando (si le ha pasado a twitter, linkedin, etc., que te puedes esperar). Más si usas software popular y muy conocido, como es, en mi caso, WordPress, que por ser la principal plataforma para blogs es de las más atacadas.

– ¿Se puede minimizar el riesgo e impacto? Sí. A más medidas de seguridad, más controles y más medidas de contingencia como, por ejemplo, tener un respaldo con una copia en producción del blog, etc. Pero… todo lo anterior es horas y/o euros. Y yo blogeo más por pasión que por dinero (que un blog no da ingresos), por lo que aquí los medios son limitados.

Javier Garzás

Javier Garzás

Ph.D. en informática, Postdoctorado en la Carnegie Mellon (EE.UU) e Ingeniero en Informática.

Primera vez que me tocó hacer una gestión Ágil en una empresa... año 2001. Desde entonces he trabajado en, o para, más de 90. Y he formado a más de 2000 alumnos.

También soy profe de la Universidad Rey Juan Carlos.
Javier Garzás

2 Comments

  1. hola, me gustaria que me mandes algun programa o el link en mediaire
    para hackear blogs,
    porque uno intento hacer cosas con mi hermana y se su blog por favor neceesito tu ayuda.
    gracias

    pablo romero

  2. Jajajajaj! Eres un genio Pablo!! Estoy seguro de que te hechan un cable!!

Trackbacks/Pingbacks

  1. Bitacoras.com - Información Bitacoras.com... Valora en Bitacoras.com: Continuando con el post de ayer sobre el hackeo a este blog, el último…

Post a Reply

Tu dirección de correo electrónico no será publicada.

Share This