>

Attacco hacker a WordPress. Soluzione per risolvere il problema di quel “base64_decode” e alcuni link utili.

La set­ti­ma­na scor­sa ho dovu­to atti­var­mi a cau­sa di que­sto hack por­ta­to ai dan­ni di Word­Press (e pur­trop­po anche di que­sto blog). Ho cer­ca­to in lun­go e in lar­go nel­la rete e ho risol­to rapi­da­men­te, anche se non so se la solu­zio­ne dure­rà oppu­re no. Comun­que ecco una pro­ce­du­ra mol­to effi­ca­ce anche se un po’ com­ples­sa da met­te­re in atto.

1) Nel pan­nel­lo di ammi­ni­stra­zio­ne, anda­te alla voce “Per­ma­link” e rimet­te­te il segno di spun­ta sul­la strut­tu­ra che ave­va­te scel­to in ori­gi­ne.

2) Alla voce “Uten­ti” anda­te a vede­re il con­teg­gio degli ammi­ni­stra­to­ri. Se il nume­ro indi­ca­to è supe­rio­re a quel­lo effet­ti­vo degli uten­ti con tale pri­vi­le­gio, allo­ra vi han­no aggiun­to un uten­te ammi­ni­stra­to­re che non pote­te vede­re gra­zie a un codi­ce Java­script aggiun­to al nome uten­te (que­sta è una fal­la di wordpress).

Occor­re quin­di visua­liz­za­re il sor­gen­te HTML del­la pagi­na su cui sono elen­ca­ti gli uten­ti “Admi­ni­stra­tor” com­pre­so quel­lo invi­si­bi­le che è tale solo in visua­liz­za­zio­ne nor­ma­le ma è pre­sen­te nel sorgente.

3) Per fare ciò sce­glie­te “Visua­liz­za” – “Ori­gi­ne” dal menù di IE o voci simi­li sugli altri browser.

4) Cer­ca­te il ter­mi­ne “user_edit.php” nel­la pagi­na. Atten­zio­ne per­chè ne avre­te tan­ti quan­ti sono gli ammi­ni­stra­to­ri. Quin­di N + 1 che cor­ri­spon­de all’am­mi­ni­stra­to­re nasco­sto. Una vol­ta tro­va­to, clic­ca­te su quel link (che sarà un po’ lun­ghet­to…) que­sto vi por­te­rà alla pagi­na di modi­fi­ca di quel­l’u­ten­te.

5) A que­sto pun­to cam­bia­te­gli il ruo­lo in “con­tri­bu­tor” e can­cel­la­te il codi­ce con­te­nu­to nel cam­po “Nome”, sosti­tuen­do­lo con “stron­zo” o quel­lo che vi pare.

6) Ritor­na­te alla pagi­na degli uten­ti, sele­zio­na­te quel­li con il ruo­lo “con­tri­bu­tor” e can­cel­la­te lo “stron­zo” o quel­lo che ave­te messo.

7) Via FTP anda­te nel­la root del blog e con­trol­la­te che non ci sia­no file .php stra­ni o sco­no­sciu­ti ed even­tual­men­te can­cel­la­te­li (atten­ti a non can­cel­la­re file del­l’in­stal­la­zio­ne word­press!!!)

8) Bloc­ca­te la fun­zio­ne di iscri­zio­ne come uten­ti al blog

A que­sto pun­to non vi resta che aspet­ta­re una pros­si­ma relea­se di Word­Press (anche l’at­tua­le, la 2.8.4 è infat­ti sta­ta col­pi­ta da que­sto attac­co). Se nel­le modi­fi­che com­pa­re la solu­zio­ne a que­sto hack allo­ra aggior­na­te Word­Press appe­na pos­si­bi­le.

Qui di segui­to vi met­to qual­che link agli arti­co­li ori­gi­na­li.

Jour­ney ETC

Lorel­le

Smac­k­do­wn

Con­di­vi­di

4 Comments

  1. jan ha detto:

    Miti­co! ave­vo pra­ti­ca­men­te tut­ti i blog infet­ta­ti e con il tuo meto­do ho risol­to in un attimo!

  2. edoardo ha detto:

    ciao, ti rin­gra­zio anche io per il tuo arti­co­lo, vor­rei chie­der­ti solo una cosa, per root del sito web in pra­ti­ca qua­le in qua­li car­tel­le devo con­trol­la­re? gra­zie mille

    • franz ha detto:

      Non so dove tu abbia il tuo sito e non cono­sco la sua strut­tu­ra, ma comun­que per root inten­do quel­la car­tel­la in cui, digi­tan­do l’url del tuo blog, va a fini­re il visitatore.
      Nel caso di Word­Press la car­tel­la in que­stio­ne è quel­la che con­tie­ne la car­tel­la wp-admin, a meno che tu non abbia deci­so in fase di instal­la­zio­ne di met­te­re la root del blog in una posi­zio­ne diver­sa dal­la root d’installazione.
      Sem­pre nel caso di word­press, nel pan­nel­lo di ammi­ni­stra­zio­ne la root di cui par­lo è quel­la indi­ca­ta nel qua­dro “Impo­sta­zio­ni” – “Gene­ra­li” alla voce “Ini­di­riz­zo Word­Press (URL)”. Spe­ro di esser­ti sta­to utile.
      Ciao!