Blog defacciato

[extrabyte]

Ciao a tutti, l'anno scorso ho installato/configurato un blog su piattaforma WP. L'installazione era tramite script fornito dall'hoster, e la versione era (ed è) la 2.6.2.

Ieri è stato defacciato: retesud.net

Nella root non è stato modificato nessun file (almeno, apparentemente). Ci si può loggare e i post e commenti sono ok, quindi il database non è stato toccato, giusto??

Ho contattato l'help desk dell'hoster e loro hanno proposto un ripristino dell'ultimo backup. Ma secondo me non servirebbe a nulla, perchè il db è integro. Ho provato a leggere il file index.php e sembra ok. Ho provato anche a sostituirlo ma non è servito a nulla.

Secondo voi è possibile risolvere o bisogna ripristinare tutto da capo?

Grazie in anticipo.

p.s. e mi ci metto anch'io in lista: in uno dei miei blog non ho aggiornato wordpress e ora è alla versione 2.5. Tempo addietro volevo aggiornarlo a quella attuale, ma ho visto che si tratta di cosa lunga e se qualcosa va storto perdo ben otto mesi di posizionamento su google oltre che mesi interi...... Ho letto di alcune possibili falle di questa versione:
onecms.it/18/04/2008/problemi-di-sicurezza-per-wordpress-25/

[fmm]

Ciao,

io personalmente farei un bel backup sia del db che del sito e provvederei subito all'update all'ultima versione (2.7.1).
Ciao.

[n1gH7]

Hai controllato il file .htaccess? Magari hanno fatto qualche porcata li.
O hanno cambiato il dns del dominio indirizzandolo altrove.. non saprei.

Comunque io opterei per ritirare su un backup recente, ed aggiornare immediatamente a wordpress 2.7.1. Non perdi nulla, ci guadagni in sicurezza e versatilità del cms.

Poi vedrei con l'host dov'è stata la falla, e mi parerei il sedere a dovere.

[extrabyte]

ecco il file .htaccess

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

[n1gH7]

Bo allora è questione di DNS secondo me.

[extrabyte]

Quote:

n1gH7

Bo allora è questione di DNS secondo me.

Ho provato a cancellare index.php dalla root. Digitando la url viene riprodotto l'albero delle directory... Se fosse davvero una questione di DNS, non dovrebbe puntare comunque alla stessa pagina?

ps. Se quindi sono i DNS è inutile cancellare e ripristinare?

[n1gH7]

Probabilmente allora è un file di inclusione standart del file index.php.

Prova a vedere i file in root:
wp-blog-header.php
template-loader.php
wp-load.php

Ed altri eventuali percorsi ad inclusione che questi file seguono. Confrontali con i file di WP originale.

Non è questione di DNS, sbagliato io.

[WordPressMania]

Purtroppo le versioni 2.6.X di WP hanno bachi si sicurezza stra-noti ed è praticamente un caso se non ti defacciano il sito prima o poi :-(

Una strada per risolvere davvero una volta per tutte: Leggi gli articoli che Mario Pascucci ha dedicato all'argomento, esegui l'Autotest preparato appositamente da Pascucci, segui TUTTE le sue indicazioni per ripristinare il tutto.

Ecco un riassunto da parte mia (tutte questo l'ho imparato leggendo i post che ti ho segnalato, quindi meglio leggerli che fidarsi di me ;-) )

In molti casi il defacciamento compare su blog anche 2.7.1 poichè l'infezione è avvenuta tempo fa ma poi l'attacker è rimasto silente fino ad ora (leggi questo post e i vari commenti).

Fare semplicemente l'upgrade alla 2.7.1 quindi non basta.
In alcuni casi l'attacco viene portato creando un utente admin nascosto, in altri aggiungendo uno o più file in qualche cartella di wp e camuffandolo.

Cosa fare?

Ovviamente fai un backup di tutto, file e database, ma attenzione perchè questi backup conterranno "l'infezione".

Innanzitutto verifica che non ci sia un utente con privilegi admin (nascosto) in più: apri il db e verifica il contenuto della tabella users, potrebbe esserci un utente senza username ma con privilegi admin. Cancellalo.

Con ogni probabilità ti hanno cambiato qualche file nella cartella wp-content, magari tra i tuoi uploads: sono le cartelle che non vengono sovrascritte quasi mai quando si fa un aggiornamento.
Quindi: cancella tutti i temi che non usi. Passa in rassegna tutti i file del tema che usi, cancella tutti quelli che hanno estensioni sconosciute (io in alcuni casi ho anche trovato file con estensione .old, o .bak), verifica anche tra le immagini e i javascript. cerca stringhe del tipo "eval(....)" o base64(...): sono metodi per nascondere codice malevolo: indizi sicuri di infezione quasi sempre.
L'ideale sarebbe confrontare l'elenco dei file del tema che usi con una versione appena scaricata... le uniche differenze dovrebbero essere a te note e consistere in eventuali file da te aggiunti...

Cancella i plugin. Tutti. Li reinstallerai più tardi.

Carica i file di WP 2.7.1 e installa il tutto

Ricarica i plugin direttamente dal sito degli autori o da Extend, non dai tuoi backup.

Attiva il tema ripulito...

Una guida molto tecnica, sempre di Pascucci, su tutto questo la trovi qui:
http://www.cfitaly.net/owned-wp-analysis è in pdf ed è un po' difficilina...


...e quando esce un upgrade di sicurezza di WP correte ad installarlo
ragazzi, c'è gente che usa il vostro blog per le proprie porcate, spesso illecite, non è roba da prendere sotto gamba, per favore!!

Stefano

[extrabyte]

Ti ringrazio per la spiegazione dettagliata e delle risorse elencate (ne farò tesoro).

Il blog è stato ripristinato tramite backup dall'hoster. Fino a qualche giorno fa ancora non conoscevano la natura della vulnerabilità utilizzata....

ps. per caso sai come è messo wordpress 2.5? Ho un blog con oltre 1000 post e fare l'upgrade alla 2.8 non è un gioco...