Ataque masivo a WordPress con ILLOWP

218 visualizaciones

Publicado el

Ataque masivo a WordPress es la presentación "illo, illo, illo otro WordPress desactualizado" utilizada en la WordCamp de Sevilla 2016.

Publicado en: Internet
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
218
En SlideShare
0
De insertados
0
Número de insertados
61
Acciones
Compartido
0
Descargas
4
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Ataque masivo a WordPress con ILLOWP

  1. 1. ILLO, ILLO, ILLO OTRO WORDPRESS DESACTUALIZADO POR JORGE WEBSEC WORDPRESSA.QUANTIKA14.COM
  2. 2. WORDPRESSA.QUANTIKA14.COM 2 TÍTULO INDICE [¡] Autor [¡] ¿Qué es el proyecto WordPressA? [¡] ¿Qué es ILLOWP? - Alexa top 1 millon - Detectar un WordPress - Vulnerabilidades - Soluciones [¡] Datos y más datos... [¡] El público aplaude y grita sobre la belleza del ponente ;P
  3. 3. WORDPRESSA.QUANTIKA14.COM 3 TÍTULO ¿Quizás me recuerden de...?
  4. 4. WORDPRESSA.QUANTIKA14.COM 4 TÍTULO¿Quien es JORGE WEBSEC? - Socio fundador de QuantiKa14 - Perito informático socio en APTAN - Creador del Proyecto WordPressA - Colaborador en Canal Sur Radio @JorgeWebsec
  5. 5. WORDPRESSA.QUANTIKA14.COM 5 TÍTULO
  6. 6. WORDPRESSA.QUANTIKA14.COM 6 TÍTULO ¿Qué tiene el proyecto WordPressA? - Nació en 2013 con el objetivo de ordenar proyectos de WordPress en la empresa de QuantiKa14. - Documentación gratuita. - WordPressA Security Plugin. - WordPressA Challenge. - AbueloWP. wordpressa.quantika14.com
  7. 7. WORDPRESSA.QUANTIKA14.COM 7 TÍTULO
  8. 8. WORDPRESSA.QUANTIKA14.COM 8 TÍTULO Es un proyecto que está dentro de WordPressA y tiene 2 objetivos: 1. Concienciar en la seguridad de WordPress a través del análisis de un big data. 2. Crear una lanzadera de exploits de vulnerabilidades automatizada. ¿Qué es ILLOWP?
  9. 9. WORDPRESSA.QUANTIKA14.COM 9 TÍTULO Usaremos: - Python: para hacer los bots. - MongoDB: para almacenar los datos. - WordPress: para exponer los datos. ¿Qué vamos a usar?
  10. 10. WORDPRESSA.QUANTIKA14.COM 10 TÍTULO¿Qué es Alexa top web?
  11. 11. WORDPRESSA.QUANTIKA14.COM 11 TÍTULOCreamos top 1 millón - Python - Modulos: + BeautifulSoup + UrlLib2 https://github.com/Quantika14/illoWP/ - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2
  12. 12. WORDPRESSA.QUANTIKA14.COM 12 TÍTULO - Cada bot tarda una medía de 2 segundos en analizar una web. - 1.000.000 webs = 2.000.000 seg - 33333,34 minutos = 555,56 horas - 555,56 horas = 23,15 días No morir sentados...
  13. 13. WORDPRESSA.QUANTIKA14.COM 13 TÍTULOSolución - Dividimos la lista en partes iguales. - Creamos ejercito de bots.
  14. 14. WORDPRESSA.QUANTIKA14.COM 14 TÍTULOSolución - Contratación de 2 vps en OVH = 10 € - 10 bots funcionando paralelamente con 3 ips diferentes.
  15. 15. WORDPRESSA.QUANTIKA14.COM 15 TÍTULOCómo detectar un WP? Versión 1: ● Buscamos “/wp-content/” en el html ● Buscamos link “xmlrpc.php” ● Buscamos el Generator (obvius;) Versión 2: ● Buscamos “/wp-content/” y comprobamos que tenga el mismo dominio que el target ● Hacemos una comprobación de directorios (aumenta mucho el tiempo) ● Extracción de la versión de los css ● Estructura HTML – falsos positivos ● Readme.html
  16. 16. WORDPRESSA.QUANTIKA14.COM 16 TÍTULOQué hacer para no ser detectados? 1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y añadimos la siguiente línea: remove_action('wp_head', 'wp_generator'); 2. Quitar readme.html 3. Cambiar ruta “wp-content”: ponemos en wp-config -> define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' ); 4. Cambiar “/wp-content/uploads”: define('UPLOADS', 'wp-content/archivos'); 5. Cambiar acceso de administración: https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin
  17. 17. WORDPRESSA.QUANTIKA14.COM 17 TÍTULOEscáner de vulnerabilidades
  18. 18. WORDPRESSA.QUANTIKA14.COM 18 TÍTULO¿Cuántos WP hay? Fuente: http://one.elpais.com/gracias-a-el-se- publica-la-cuarta-parte-de-las-webs-del-mundo- matt-mullenweg-fundador-de-wordpress/
  19. 19. WORDPRESSA.QUANTIKA14.COM 19 TÍTULO¿Cuántos WP hay? Fuente: http://guiadeinternet.com/2014/04/el- 22-de-las-webs-de-todo-el-mundo-utilizan- wordpress/
  20. 20. WORDPRESSA.QUANTIKA14.COM 20 TÍTULO¿Cuántos WP hay? Fuente:https://www.40defiebre.com/estadisticas -wordpress/
  21. 21. WORDPRESSA.QUANTIKA14.COM 21 TÍTULO¿Cuantos WP hay? En Alexa Top 1 millón de 2016: 4,2%
  22. 22. WORDPRESSA.QUANTIKA14.COM 22 TÍTULO ¿Entonces qué pasa?
  23. 23. WORDPRESSA.QUANTIKA14.COM 23 TÍTULOY si...¿? Fuente: https://es.wikipedia.org/wiki/WordPress
  24. 24. WORDPRESSA.QUANTIKA14.COM 24 TÍTULOPuede ser que... 1. Al ser el ranking 1 millon mundial el indice de WP baja al no usar cms 2. Seguramente los datos de WP usaran los subdominios de wordpress.com como una web
  25. 25. WORDPRESSA.QUANTIKA14.COM 25 TÍTULO ¿Cuántos están actualizados? Versión actualizada el 26/09/2016 → 4.6.1 Actualizado No actualizado 63% No actualizado / 37% Actualizado
  26. 26. WORDPRESSA.QUANTIKA14.COM 26 TÍTULO ¿Qué es el readme.html?
  27. 27. WORDPRESSA.QUANTIKA14.COM 27 TÍTULO ¿Cuántos no tienen el readme.html? Solo el 17% no tiene readme.html El 83% tiene el readme.html CON SIN
  28. 28. WORDPRESSA.QUANTIKA14.COM 28 TÍTULO Alexa WP Themes 1. divi - by Elegant Themes: https://www.cvedetails.com/cve/CVE-2015-1579/ 2. Fashionistas 3. Avada | Responsive Multi-Purpose Theme 4. BeTheme - Responsive Multi-Purpose WordPress Theme 5. Newspaper
  29. 29. WORDPRESSA.QUANTIKA14.COM 29 TÍTULO
  30. 30. WORDPRESSA.QUANTIKA14.COM 30 TÍTULO CONCLUSIONES 1. Los usuarios de WordPress no son conscientes y responsables de la seguridad de sus web 2. WordPress debe trabajar más en la actualización automática en plugins y themes 3. WordPress debe borrar el readme.html y generator por defecto 4. Viendo la facilidad de los ataques masivos entiendo la gran cantidad de intrusiones que se llevan acabo al día.
  31. 31. WORDPRESSA.QUANTIKA14.COM 31 TÍTULO¿ALGUNA PREGUNTA?
  32. 32. WORDPRESSA.QUANTIKA14.COM 32 TÍTULO MUCHAS GRACIAS

×