Home › Forum › Problemi Vari con WP › Attacco al sito
-
AutorePost
-
-
8 Luglio 2009 alle 16:19 #10961hpatoioPartecipante
Ciao a tutti.
Non so se altri nel forum sono stati recentemente (o in passato ma la cosa mi sembra nuova) attaccati dal virus bablooo.
La mia installazione è stata bucata e mi son ritrovato in una decina di post del codice con link a siti di spam (opportunamente nascosti via CSS ovviamente).
Sto cercadno info ma ne ho trovate molto poche e nulla sul sito ufficiale di WP.
Per ora le due fonti che ho trovato sono :
http://wordpress.org/support/topic/280748
http://ckon.wordpress.com/2009/06/05/bablooo-spammer-attack-on-several-wp-blogs/
Il virus fa 2 cose (da quanto ho capito)
– modifica il tema e aggiunge nel footer riferimenti a siti di spam. Questo appoggiandosi a un buco nell’editor on-line dei temi. ma questa cosa funziona solo se i file sono scrivibili dal webserver.
– modifica *alcuni* post e aggiunge alla fine di questi riferimenti a siti di spam
Per la prima cosa basta fare un check sul tema, per la seconda consiglio di laciare la query
select ID, post_title from wp_posts where post_content like '%babloo%' limit 10;
Qualcuno facendo un check riscontra uno di questi 2 problemi ?
Qualcuno già attaccato ha risolto ?
ciao e grazie
--
Hpatoio
-
10 Luglio 2009 alle 14:11 #66976mauropixelPartecipante
Caro Hpatoio,
anche io ho il tuo stesso problema, o per lo meno simile. Mi sono reso conto dell’attacco scaricando l’RSS da Google Reader (altrimenti lo spam non è visibile da nessun altra parte). Ho trovato del codice php nell’header.php `
<?php /* wp_remote_fopen procedure */ $wp_remote_fopen=
… l’ho elliminato e sembra tornato tutto a posto, ma mi si potrebbe ripresentare il problema perché non ho trovato la fonte di questa injection (ho WP 2.8 installato). In un altra installazione di WP (2.7.1) mi si presenta lo stesso problema, ma non sono riuscito a trovare questo schifo di codice dove si è annidato.
-
10 Luglio 2009 alle 14:51 #66978sLaPartecipante
… esiste un rimedio semplice ed efficace e’ il plugin “AskApache Password Protect” … protegge indipendentemente dalla versione installata di wp … in attesa che i bug’s vengano risolti e le falle chiuse –
Un bel giro di vite ai permessi per i files (604) e le directory (705) non sarebbe male … a chi funziona …
Nella 2.8.1 hanno risolto qualcosa o meglio, dicono di averlo fatto:
– A problem where the rich text editor wasn’t being loaded due to compression issues has been worked around.
– Extra security has been put in place to better protect you from plugins that do not do explicit permission checks.
– RTL layout fixes.
-
17 Luglio 2009 alle 11:52 #67090mauropixelPartecipante
a me il problema si è ripresentato!
Hpatoio, tu sei riuscito a risolvere?
-
17 Luglio 2009 alle 12:58 #67091kitPartecipante
Io ho avuto un “attacco” massiccio di questo “virus” sul mio blog, è ho dovuto controllare uno a uno tutti i post (in HTML non con l’editor), rimuovendo le stringhe di codice “malevolo”. E’ stato un lavoraccio.
-
2 Agosto 2009 alle 14:42 #67409hpatoioPartecipante
Ciao, @mauropixel scusa ma ero in vacanza.
Ad ora non mi sembra ci sia stato nessun nuovo attacco. Domani controllo più dettagliatamente e nel caso ti faccio sapere.
Ciao
—
Hpatoio
-
3 Settembre 2009 alle 12:57 #68076mauropixelPartecipante
Dopo un periodo di tranquillità il problema dello Spam nell’Rss mi si è ripresentato. Non riesco a capire dove sia il codice malevolo che fa questa iniezione di farmaci. Rilevo lo stesso problema su due installazioni differenti, una con 2.8.1 e l’altra aggiornata all’ultima, la 2.8.4. Se vado a vadere il codice Html generato nel browser è tutto pulito. Ma quando scarico l’articolo via rss su Google reader compaiono all’inizio del post delle righe di pubblicità ai farmaci del sesso.
Avete qualche suggerimento?
-
3 Settembre 2009 alle 14:29 #68078kifulabPartecipante
Concordo con sLa, bisognerebbe dare un giro di vite ai permessi (di solito sono la causa principale) anche se questo a volte, e a seconda delle configurazioni, non è sempre comodo.
A questo indirizzo: http://www.kifulab.net/2009/wordpress-mettere-in-sicurezza-la-cartella-uploads/ trovi inoltre un articolo che spiega come disabilitare con .htaccess l’esecuzione di php dalla cartella wp-content/uploads/. Uno dei motivi principali metodi usati per bucare un sito è tramite il caricamento di shell php, tipo la c99, su cartelle con permessi 777 (wp-content/uploads lo è molto spesso).
Cia!
-
5 Settembre 2009 alle 9:03 #68125mauropixelPartecipante
Niente!
Ho messo in sicurezza le cartelle ed ho anche creato come consiglia kifulab un htaccess per fermare l’esecuzione di php su cartelle specifiche. La cosa che non capisco è che nell’html della pagina che viene generato non c’è traccia di questo testo spam che poi, è invece visibile se si scarica l’articolo via Rss, ma solo se si leggono gli articoli da Google Reader. Ho infatti provato a scaricare i post con dei client rss che non mi danno problemi.
Non riesco a capire dove possa essere l’inghippo. Su Google Reader scarico altri articoli da altri blog ma non mi da questa pubblicità spam. Per gli rss dei miei blog invece c’è tutta questa sporcizia.
Sapete darmi un consiglio su dove altro posso andare a controllare?
Grazie
-
5 Settembre 2009 alle 9:37 #68127kifulabPartecipante
Prova a controllare la presenza di chiamate a funzioni php come
eval()
o
base64_decode()
.
Se hai la possibilita di entrare sul server da riga di comando, e sempre se è linux ovviamente, da dentro la cartella dell'installazione di wordpress digita:
grep -ri "eval(" .
o con base64_encode() per vedere se trovi le chiamate a queste funzioni. Alternativamente puoi scaricare tutti i file dell'installazione e cercare sulla copia usando degli strumenti di ricerca avanzati.
Di solito questo genere di attacchi vanno ad inserire porzioni di codice all'interno dei file wp sfruttando configurazioni di permessi errate
Facci sapè
ciao
-
26 Settembre 2009 alle 9:05 #68504mauropixelPartecipante
Ciao kifulab,
ho provato a fare ciò che dici tu, ma non ho risolto niente. Ho letto anche degli articoli che consigliano la tua stessa soluzione, ma si riferiscono al problema che c’è fino alle versioni precedenti 284 e che agisce sui permalink. Ma il mio, come ti accennavo non è un problema di permalink. Tra le varie cose ho notato che se pubblico due post a breve distanza uno dall’altro, lo spam degli rss agisce solamente sull’ultimo pubblicato.
Ci sto diventando matto!
Se scopro qualcosa lo posto, ma se nel frattempo vi è venuta in mente una soluzione… è gradita!
-
8 Ottobre 2009 alle 10:52 #68716mauropixelPartecipante
Ragazzi non so se è collegato al problema dello spam che ho, non ho ancora risolto, ma girovagando sul db ho trovato degli utenti che a occhio e croce non mi appartengono.
Oltre ad admin ne ho altri che dall’admin di wp non vedo e sono i seguenti: adminq, WordPress, webmaster e adminx
Che faccio? Li posso cancellare senza pietà ? E una volta cancellati dove posso andare a vedere dove hanno trovato una finestra aperta per entrare?
-
8 Ottobre 2009 alle 13:13 #68719wollyAmministratore del forum
si devi cacellarli e controllare bene il tuo wordpress.
-
10 Ottobre 2009 alle 1:32 #68739naftalinaPartecipante
Ragazzi stesso problema anche io il portale e stato presso dagli hacker non riesco a liberarmi in nessun modo anche se sto facendo di tutto avete altri consigli ????
-
10 Ottobre 2009 alle 1:36 #68740naftalinaPartecipante
adesso sto riscontrando altri problemi su queste righe:
Warning: gzinflate() [function.gzinflate]: data error in /web/htdocs/www.thegameover.eu/home/wp-includes/http.php on line 1787
Warning: gzuncompress() [function.gzuncompress]: data error in /web/htdocs/www.thegameover.eu/home/wp-includes/http.php on line 1792
-
10 Ottobre 2009 alle 7:09 #68743wollyAmministratore del forum
cancella tutti i file di wordpress eccetto wp-config.php htaccess e la dir wp-content e quando hai finito di cancellare carica una versione pulita di wordpress.
-
10 Ottobre 2009 alle 16:30 #68746naftalinaPartecipante
fatto abbiamo rimesso un nuovo wordpress ma il prblema sull’http rimane almeno il virus adesso però è stato sconfitto
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.