Dominio Expirado de Plugin Amenaza la Seguridad de Sitios Web

Share this…

¿Usted mantiene el software de su sito web actualizado (incluidos todos los temas, plugins y componentes de terceros)? ¡Hágalo! Siempre recomendamos que nuestros clientes y lectores mantengan todo actualizado. Actualizaciones reemplazan cualquier código vulnerable por lo que se cuando se lanza el parche. Sin embargo, esta no es la única razón para mantener el software de su sitio web lo más actualizada posible.

Hace aproximadamente un mes, contamos una historia sobre un tema de WordPress que no recibía más soporte y que su nombre de dominio había expirado, lo cual fue registrado nuevamente y aparcado por “domainers”. Todo esto dio lugar a imágenes de anuncios no deseados en los sitios web que aún mostraban el tema no más soportado. En esta historia, el problema era que los archivos de temas originales utilizaban scripts alojados en su propio dominio. Esto hizo que los sitios web afectados redirigieran a los visitantes a las páginas de anuncios. Este es el comportamiento por defecto para todas las aplicaciones que utilizan JavaScript con el servicio de parking de dominios.

Recientemente, hemos tratado un caso en el que un sitio web redirigía a los usuarios a un dominio externo que mostraba anuncios en pop-ups, algunos de los cuales eran obviamente maliciosos, por ejemplo, este pop-up esquema de apoyo técnico Comcastque intentó bloquear un navegador web y pidió para llamar a su número.

image00

Plugin Flexytalk Widget

Al investigar este caso, hemos visto un intento de cargar un JavaScript a partir delflexytalk[.]com. Inicialmente, no nos pareció sospechoso, ya que hay un plugin llamadoflexytalk-widget. Incluso después de la limpieza de otros tipos de malware, la redirección continuó ocurriendo, entonces investigamos más a fondo y descobrimos que el dominio flexytalk[.]com había expirado y otra persona lo había comprado y aparcado en todo un servidor que enviaba todo tipo de anuncios a los visitantes.

La versión del plugin que se instaló en el sitio web tenía más de un año y tenía este iFrame en el FlexyTalk_Widget.php:


<iframe src=“https://panel.flexytalk[.]com/account/pluginlogin/‘.$usr.’/'.$pwd .'/1" width="100%" height="100%" style="min-height:850px; width:100%" frameborder=0 ></iframe>

El plugin almacena y envía la contraseña en texto plano, pero esto todavía no era lo peor. Ahora que el nombre de dominio fue aparcado, este iFrame puede redirigir a los visitantes y mostrar pop-ups.

Detrás de las escenas, el plugin también realiza peticiones a otra URL flexytalk[.]com:

$response= curl2("https://panel.flexytalk[.]com/plugin/FlexyID?usr=".$username ."&psw=".$password);
log_me($response);

Ahora que el nombre de dominio ya no pertenece a su creador, los resultados de estas acciones son impredecibles. A lo sumo, se acaba de romper algunas funciones del plugin, en el peor de los casos, el nuevo propietario del dominio roba sus credenciales(todavía hay muchas personas que reutilizan sus contraseñas) y dependiendo la calidad del código del plugin, puede inyectar malware en páginas web o comprometer el servidor.

Scripts Secuestrados

Y eso no es todo. El plugin también utiliza un script alojado en flexytalk[.]net, que también había expirado hacía más de un año y registrado de nuevo por una persona diferente que lo aparcó en otro servicio de parking de dominios.

$htmlCode="<script id='ftcontent' data-flexytalk=".$widget_id." ".$datadept. ">var script = 
document.createElement('script');script.src = ('https:' == document.location.protocol ? 'https:' : 'https:') + 
'//www.flexytalk[.]net/app/v3/js/flexytalk.js';document.getElementsByTagName('head')
[0].appendChild(script);

En este caso , el servicio de parking de dominios no devolvió un código de redirección a las solicitudes de JavaScript como otro servicio de aparcamiento sobre lo cual escribimos hace un mes. Devolvió un código que crea anuncios pop-up cuando se hace clic en cualquier parte de una página web (por ejemplo, en una página que incluya una versión más antigua del widget Flexytalk.)

image01

Domainers Trabajando

Como se puede ver, el plugin Flexitalk se ha visto gravemente afectado por la expiración de ambos nombres de dominio utilizados para su funcionamiento. Curiosamente, los dominios .net y .com se han registrado de nuevo por diferentes personas hace un año, y decidieron, de forma independiente, aparcar los dominios.

Domain Name: flexytalk[.]com
Registrant Name: wenjie chen
Creation Date: 2015-09-30T18:03:17Z
IP: 103.224.182.207

Domain Name: flexytalk[.]net
Registrant Name: Milen Radumilo
Creation date: 2015-07-09T18:03:41Z
IP: 185.53.178.8

Estas dos personas pueden no se conocer, sino que están en el mismo negocio. Se registran dominios expirados abandonados en grandes cantidades y luego tratan de venderlos a un precio mucho más alto de lo que han pago por ellos. Mientras que están esperando compradores, aparcan sus dominios en los servidores donde se generan ingresos por publicidad cuando la gente de vez en cuando visitan estos sitios web. Podría ser clics en los enlaces más antiguos de sitios web existentes, errores tipográficos en las URL, o, como en nuestro caso, un software que depende de recursos en dominios expirados. Como era de esperar, dominios expirados con muchos enlaces a los mismos (incluyendo enlaces a las imágenes y librerías de JavaScript) se encuentran entre los más valiosos.

Si usted duda de que los dominios ahora pertenecen a los domainers profesionales, compruebe cuántos dominios ellos tienen:

  • Wenjie Chen (e o endereço de email) está associado a ~4.884 domínios
  • Milen Radumilo está associado a ~100.000+ domínios

Dudo que alguien necesita carteras de nombres de dominio tan grandes (y caras) a no ser que el nombre de dominio sea su negocio.

Podemos imaginar la cantidad de dominios expirados que tienen el mismo comportamiento: anuncios, pop-ups, redirecciones. Por ejemplo, el servidor con la IP185.53.178.8 (donde flexytalk[.]net está aparcado en el momento) también se utiliza para 75 mil otros sitios web aparcados. Los servidores de nombres de ese servicio de parking de dominios (PARKINGCREW[.]NET) se utilizan para más de un millón de dominios.

Flexytalk Widget Recibe un Nuevo Nombre

¿Qué pasó con el plugin? Incluso después de que el nombre de dominio ha expirado, el plugin está siendo desarrollado y actualizado. Pero su nombre fue cambiado y esta es la explicación de su :

3.1.8
INFORMACIÓN IMPORTANTE: Todas las cuentas IM cambian para xyz@chat.frescochat.com (en lugar de xyz@flexytalk[.]im)

La atualización dirige su script para nuestros nuevos servidores FrescoChat

Debido a problemas operacionales, cambiamos nuestro nombre para FRESCOCHAT”

De acuerdo con el repositorio del plugin, eso ocurrió hace 16 meses. El nombre y el servidor del plugin se han modificado, pero la id del plugin se ha mantenido igualflexytalk-widget, por lo que los usuarios de las versiones anteriores del plugin sean notificados de nuevas versiones y actualicen el plugin de manera más fácil. Tres versiones con nuevos nombres de dominio se han lanzado desde entonces, pero algunos webmasters no han actualizado el plugin, lo cual es muy extraño, ya que es una herramienta de chat en vivo y nadie necesita un chat que no funcione (y versiones anteriores ya no funcionan, ya que los servidores se cambiaron hace 16 meses).

¿Qué Podemos Aprender en Este Caso?

Los dominios expirados y servicios de terceros que se utilizan en su sitio web pueden ser un problema de seguridad para usted y para sus visitantes.

Hay muchas buenas razones para mantener todo actualizado y deshacerse de software sin soporte. Una posible dependencia de código en dominios expirados que podrían haber cambiado de manos es uno de los problemas.

Al elegir un software de terceros para su sitio web (CMS, temas, plugins, componentes), estime si los desarrolladores podrán darle soporte a lo largo de la vida de su sitio web. Tenga cuidado si el software es una interfaz a los servicios en el dominio de su propio promotor o cualquier otro dominio de tercero. Imagine lo que podría suceder si el desarrollador dejar los negocios y dejar de ofrecer soporte al software o lo vender junto con su nombre de dominio. ¿Qué pasa si el sitio web del desarrollador es hackeado? En todos estos escenarios, su propio sitio web puede estar en riesgo: redirecciones, anuncios no deseados, inyecciones de malware, robo de datos y compromiso del servidor.

Resumen:

  • Instale sólo software de desarrolladores con una buena reputación.
  • Remueva todo lo que no es crítico para la funcionalidad de su sitio web.
  • Elimina el software sin soporte.
  • Mantenga todo actualizado.
  • Escanee su sitio con regularidad, para descobrir links rotos y remover referencias a sitios web que ya no existen.