GoDaddy almacena cientos de sitios web con puerta trasera activa

¡Los sitios almacenados en GoDaddy cuentan con un codigo malicioso almacenado en wp.config.php!

GoDaddy almacena sitios web con puerta trasera activa

Los investigadores de seguridad informática han detectado y advertido de un aumento de las puertas traseras de los sitios web que utilizan el sistema de gestión de contenido WordPress y que son administrados por GoDaddy, todos, completamente todos tienen la misma fallo de seguridad.

El descubriendo lo ha realizado exactamente Wordfence cuyo equipo observo por primera vez una actividad maliciosa el 11 de marzo de este año, en un total de 298 sitios web que tiene puerta trasera y de todos estos sitios, 281 son alojados en GoDaddy.

GoDaddy almacena sitios web con puerta trasera activas
GoDaddy almacena sitios web con puerta trasera activa

GoDaddy almacena cientos de sitios con puertas traseras activas

La puerta trasera que presentan todos los sitios es una herramienta de SEO de Google de 2015 que fue introducida en wp-config.php que se utilizaba para obtener enlaces spam del C2 que se utilizaban para inyectar páginas maliciosas en los resultados de búsqueda.

Este mecanismo lo que hacía era que mostraba resultados de búsqueda con contenido fraudulento a los usuarios, quienes ingresaban pensando que era un contenido real, pero nada más lejos de la realidad.

Este contenido fraudulento tenía como objetivo mostrar enlaces de productos falsos los cuales eran comprado por los usuarios, a quienes les pedían dinero y detalles de compra, luego esos datos eran entregados a los atacantes.

Por supuesto, este tipo de acción pueden dañar la reputación de los sitio web al alterar su contenido y hacer evidente la infracción, pero este no parece ser el objetivo de los actores en este momento.

Además, este tipo de ataques es más difícil de detectar, ya que todo ocurre desde un servidor y no del navegador del usuario, por lo tanto, las herramientas de seguridad de Internet locales no lo detectarán, así que ten mucho cuidado.

Así pues, si su sitio web cuenta con la plataforma WordPress y es administrada por GoDaddy, asegúrese de revisar el archivo wp-config.php para localizar posibles inyecciones de puerta trasera.

La puerta trasera se ve como la imagen superior, justamente al inicio del archivo config.php., pero la versión decodificada de la puerta trasera se ve así:

Versión decodificada de la puerta trasera
Versión decodificada de la puerta trasera

¿Tienes un sitio web en GoDaddy?