El misterioso usuario administrador – 2022

misterioso usuario administrador

En este artículo estaremos revisando una solicitud de eliminación de malware con un problema curioso: un misterioso usuario administrador seguía apareciendo en su sitio web. Por mucho que lo intentaran, nada de lo que hicieran podría deshacerse de este usuario; simplemente seguía volviendo.

Era sospechosamente genérico, se llamaba simplemente «usuario» y no tenía nombre, contenido, ni correo electrónico adjunto. Intentaron eliminarlo a través de wp-admin, manualmente a través de MySQL y Adminer usando múltiples métodos diferentes, pero sin importar lo que hicieran, seguía apareciendo, una y otra vez. Entonces, ¿Qué estaba pasando?

Buscando al culpable del misterioso usuario

La investigación inicial no señaló nada, por lo que se comenzó a revisar el sistema de archivos y la base de datos en busca de algo que pudiera estar agregando a este usuario.

Lo primero que se tenía en mente fue que este usuario probablemente se estaba agregando a través de un activador de base de datos, una táctica muy astuta que se puede usar para re-infectar el sitio web de una víctima. Un activador de base de datos es esencialmente una declaración if/then para bases de datos, si ocurre un determinado evento específico, eso activará otro evento específico.

En base a la experiencia podrían existir activadores de este tipo utilizados para generar automáticamente nuevos usuarios administradores maliciosos si se deja un comentario determinado en un sitio web, por ejemplo:

Se insertará en la base de datos un nuevo usuario administrador con el nombre wpadmin si se deja un comentario en el sitio web con el texto: «¿Estás teniendo problemas para obtener comentarios en tu blog?»
Una forma muy inteligente de volver a infectar un sitio web y mantener el acceso, incluso después de que se cambien las contraseñas y se eliminen los usuarios maliciosos.

Sin embargo, tal desencadenante no existía en este caso, por lo que la investigación continuó.

Comprobando los archivos

Una verificación de integridad de los archivos principales de WordPress pasó sin ningún problema, por lo que el problema tenía que residir en algún lugar dentro de los complementos o temas.

Una de las técnicas más efectivas es el obtener una lista de archivos que se han modificado en el sistema dentro de un período de tiempo determinado. Efectuar esto permitió ver exactamente qué archivo era el responsable.

Identificando al culpable del misterioso usuario

Enterrados en la parte inferior del archivo functions.php del tema en uso, había dos líneas simples de código:

Todo lo que hace es indicarle al sistema que cree un nuevo usuario administrador dentro del sistema con el nombre de usuario «user» y la contraseña «password».

Pero sin instrucciones ni parámetros, ¿cómo se crea el usuario?

Simple: Cada vez que se visita el sitio web en un navegador.

Dado que el tema se carga cuando se carga el sitio web, el archivo functions.php se llama cada vez (exceptuando el caso de almacenamiento en caché o servicios de CDN). ¡El cliente estaba dando vueltas en círculos tratando de averiguar cómo se estaba creando el usuario, cuando, irónicamente, ellos mismos (o sus propios visitantes) fueron los que «crearon» al usuario al visitar su propio sitio web!

En conclusión

Esta es una de las muchas muestras de malware de «creador de administrador malicioso» con las que nos hemos encontrado, también existen otros casos de «misterioso usuario». En la mayoría de los casos, también incluyen código adicional para ocultar al usuario administrador y permanecer oculto, pero este caso fue mucho más sencillo. Se encuentran con mucha frecuencia dentro del archivo functions.php del tema activo, por lo que si está experimentando un tipo similar de pirateo en su sitio web, recomendamos que consulte allí primero.

Hay otras formas de prevenir este tipo de ataque en su sitio de WordPress: es decir, ¡proteja su página de administración! https://www.sisbolivia.com/store/seguridad-en-internet

Servicios de seguridad de la información, Contamos con varios

Información de Contacto