Ataque contra Pepitas.com.pe
Nuestro equipo de ingenieros detectó anomalías en nuestro blog periodístico Pepitas.com.pe, dándose con la sorpresa de ver inaccesibles todos los comentarios que los usuarios realizaron.
Estuvimos trabajando por horas en conjunto con nuestro proveedor de alojamiento, para solucionar el problema.
Las personas malintencionadas, que quisieron borrar los contenidos de Pepitas, al no poder borrar los artículos publicados, ni modificar su diseño, optaron por borrar todos los comentarios de las siguientes entradas:
http://pepitas.com.pe/inclasificable/yo-tambien-quiero-ser-rector-de-la-san-martin/
http://pepitas.com.pe/inclasificable/garrido-lecca-reincide-quiere-que-veterinarios-dirigan-centros-de-salud/
http://pepitas.com.pe/inclasificable/exclusivo-audio-demuestra-desequilibrio-emocional-de-ministro-garrido-lecca/
Procedieron luego a inutilizar la zona de la base de datos que almacena los comentarios, impidiendo que los usuarios puedan hacer uso de los comentarios para dar su opinión sobre los temas tratados en Pepitas.com.pe.
Aún se desconoce la identidad de estos personajes. Nuestro equipo logró recuperar todos los comentarios a excepción de los últimos 6, del último artículo.
Pedimos disculpas a nuestro público por no haber podido acceder a Pepitas.com.pe, Inicia.pe y nuestro blog corporativo, sitios que también se vieron afectados en algunos momentos.
Nuestros otros blogs y proyectos no fueron afectados ya que fueron migrados hace días a servidores dedicados en MediaTemple, lo cual nos permite tener un mayor control y seguridad sobre las instalaciones de nuestro medios digitales.
Estamos tomando las medidas necesarias, para evitar que se repitan este tipo de situaciones.
Octubre 3, 2008
pudieron recuperar los IP’s de los atacantes ? O siquiera sus DNS ?
Octubre 3, 2008
@Pedro, estamos estudiando cada IP, su ISP, localización y rutas de acceso al servidor.
Ten por seguro que luego de esto tomaremos más cartas en el asunto.
Octubre 3, 2008
Intersante que el ataque haya sido dirigido a esos artículos… saben que vulnerabilidad explotaron los atacantes?
Octubre 4, 2008
@joaquin, para esa versión de Wordpress había más de una manera de realizar el ataque.
Podría haber sido:
Cross-Site-Scripting hacía “wp-admin/templates.php”
Inyección Shell Remota, valiéndose del plugin wp-cache:
http://www.milw0rm.com/exploits/6
Inyección XML-RPC SQL
http://secunia.com/advisories/24751
Entre otras no documentadas. El sistema ha sido actualizado y se está realizando auditorías de seguridad diariamente.
Octubre 4, 2008
Y si el ataque fué hecho desde una cabina?? o usando Tor o algún proxy?
Saludos
The Ghost
Octubre 4, 2008
@The Ghost, hemos solicitado a nuestro proveedor logs de acceso de días anteriores, para comparar los accesos y las direcciones IP, estamos aún a espera de su respuesta.
Si es una cabina de Internet peruana, podríamos solicitar la colaboración de la División de Investigación de Delitos de Alta Tecnología:
http://www.policiainformatica.gob.pe/unidades.html
Si están usando Tor, es más complejo ya que Tor es una red de túneles virtuales y seguir la pista podría llegar a ser muy complicado.
Estaremos en contacto con nuestros proveedores, aún esperamos más datos.