Attacco hacker a WordPress. Soluzione per risolvere il problema di quel “base64_decode” e alcuni link utili.

La set­ti­ma­na scor­sa ho dovu­to atti­var­mi a cau­sa di que­sto hack por­ta­to ai dan­ni di Word­Press (e pur­trop­po anche di que­sto blog). Ho cer­ca­to in lun­go e in lar­go nel­la rete e ho risol­to rapi­da­men­te, anche se non so se la solu­zio­ne dure­rà oppu­re no. Comun­que ecco una pro­ce­du­ra mol­to effi­ca­ce anche se un po’ com­ples­sa da met­te­re in atto.

1) Nel pan­nel­lo di ammi­ni­stra­zio­ne, anda­te alla voce “Per­ma­link” e rimet­te­te il segno di spun­ta sul­la strut­tu­ra che ave­va­te scel­to in ori­gi­ne.

2) Alla voce “Uten­ti” anda­te a vede­re il con­teg­gio degli ammi­ni­stra­to­ri. Se il nume­ro indi­ca­to è supe­rio­re a quel­lo effet­ti­vo degli uten­ti con tale pri­vi­le­gio, allo­ra vi han­no aggiun­to un uten­te ammi­ni­stra­to­re che non pote­te vede­re gra­zie a un codi­ce Java­script aggiun­to al nome uten­te (que­sta è una fal­la di wordpress).

Occor­re quin­di visua­liz­za­re il sor­gen­te HTML del­la pagi­na su cui sono elen­ca­ti gli uten­ti “Admi­ni­stra­tor” com­pre­so quel­lo invi­si­bi­le che è tale solo in visua­liz­za­zio­ne nor­ma­le ma è pre­sen­te nel sorgente.

3) Per fare ciò sce­glie­te “Visua­liz­za” – “Ori­gi­ne” dal menù di IE o voci simi­li sugli altri browser.

4) Cer­ca­te il ter­mi­ne “user_edit.php” nel­la pagi­na. Atten­zio­ne per­chè ne avre­te tan­ti quan­ti sono gli ammi­ni­stra­to­ri. Quin­di N + 1 che cor­ri­spon­de all’am­mi­ni­stra­to­re nasco­sto. Una vol­ta tro­va­to, clic­ca­te su quel link (che sarà un po’ lun­ghet­to…) que­sto vi por­te­rà alla pagi­na di modi­fi­ca di quel­l’u­ten­te.

5) A que­sto pun­to cam­bia­te­gli il ruo­lo in “con­tri­bu­tor” e can­cel­la­te il codi­ce con­te­nu­to nel cam­po “Nome”, sosti­tuen­do­lo con “stron­zo” o quel­lo che vi pare.

6) Ritor­na­te alla pagi­na degli uten­ti, sele­zio­na­te quel­li con il ruo­lo “con­tri­bu­tor” e can­cel­la­te lo “stron­zo” o quel­lo che ave­te messo.

7) Via FTP anda­te nel­la root del blog e con­trol­la­te che non ci sia­no file .php stra­ni o sco­no­sciu­ti ed even­tual­men­te can­cel­la­te­li (atten­ti a non can­cel­la­re file del­l’in­stal­la­zio­ne word­press!!!)

8) Bloc­ca­te la fun­zio­ne di iscri­zio­ne come uten­ti al blog

A que­sto pun­to non vi resta che aspet­ta­re una pros­si­ma relea­se di Word­Press (anche l’at­tua­le, la 2.8.4 è infat­ti sta­ta col­pi­ta da que­sto attac­co). Se nel­le modi­fi­che com­pa­re la solu­zio­ne a que­sto hack allo­ra aggior­na­te Word­Press appe­na pos­si­bi­le.

Qui di segui­to vi met­to qual­che link agli arti­co­li ori­gi­na­li.

Jour­ney ETC

Lorel­le

Smac­k­do­wn

Con­di­vi­di
4 Commenti
Inline Feedbacks
View all comments
jan

Miti­co! ave­vo pra­ti­ca­men­te tut­ti i blog infet­ta­ti e con il tuo meto­do ho risol­to in un attimo!

edoardo

ciao, ti rin­gra­zio anche io per il tuo arti­co­lo, vor­rei chie­der­ti solo una cosa, per root del sito web in pra­ti­ca qua­le in qua­li car­tel­le devo con­trol­la­re? gra­zie mille