Scrivo questa breve guida con la speranza che possa essere utile e servire a tutti coloro che in questi giorni han dovuto ripristinare il proprio sito fatto in wordpress a seguito di una infezione (malware) che ha corrotto i file e i temi utilizzati.
Gli hacker sono molto attivi in questi giorni e stanno sfruttando una vulnerabilità presente non solo in alcuni plugin ma anche nei temi che utilizzano il famoso script in php TimThumb per la gestione delle immagini e delle anteprime delle immagini.
Lo script in questione è stato compromesso ed è consigliabile aggiornarlo il prima possibile all’ultima versione o eliminarlo dal proprio sito aggiornando di conseguenza il tema all’ultima versione disponibile.
Lo script è messo a disposizione da Google ed è possibile copiarlo a questo link: Codice di TimThumb.php.
Oltre a dover aggiornare questo file, il pacchetto wordpress può essere stato compromesso in un altro modo. Gli hacker sono riusciti infatti, dopo aver rubato le password di accesso FTP, ad installare dei file chiamati upd.php all’interno di diverse cartelle che compongono wordpress (in particolare in /wp-admin e /wp-content) e hanno anche modificato il file di configurazione wp-config.php.
Non tutti i browser sono capaci di rilevare questa minaccia, il primo è stato Google che prontamente ha inserito il sito nella lista nera.
Ma come uscire e sventare questa minaccia?
Qui di seguito riporto le operazioni che, ahimè, ho dovuto fare per ripristinare il blog di libera-mente.net
1. Controllare il file wp-config.php. Questo file deve contenere un numero di righe non molto alto, intorno alle 92 linee e terminare con la seguente riga di codice: require_once(ABSPATH . ‘wp-settings.php’);
Tutto quello che viene dopo va cancellato! O meglio ancora se si modifica un file wp-config.php pulito con i propri dati e si ricarica questo sul server.
2. Ricercare nel pacchetto wordpress i file upd.php e rimuoverli.
3. Cancellare i file temporanei se si utilizza un plugin di cache.
4. Controllare tutti i file .js e cancellare la stringa: x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\
Meglio ancora se si caricano file nuovi per gli script.
5. Controllare il file index.php. Cancellare tutto quello che è tra require(‘./wp-blog-header.php’); e ?>
6. Cambiare le password di accesso di admin e quelle di accesso all’FTP e al server modificando ulteriormente il contenuto di wp-config.php nella riga define(‘DB_PASSWORD’, ‘tua password’);
A questo punto la minaccia è stata rimossa, per avere una conferma è possibile utilizzare un servizio di scansione on-line per siti web: http://sitecheck.sucuri.net/scanner/
Se questi passaggi non dovessero funzionare è consigliabile fare una copia di backup del proprio sito e reinstallare wordpress con tutti i file nuovi! Questo lavoro è un po’ più lungo ma assicura la soluzione definitiva al problema.
Per dubbi, domande e altro…sono qui! 🙂
Scritto da Mac La Mente
Permettimi di ringraziarti e di farti i complimenti per l’avviso e l’articolo rispettivamente. Avevo visto la segnalazione dell’attacco su uno dei miei siti e cercando con Google ho trovato il tuo articolo (merito di una buona SEO da cui i complimenti) che mi ha permesso di rimuovere l’injection. Ora sto controllando su tutti gli altri siti, non è difficile visto che il file wp-config.php aveva ovviamente una data diversa e più recente degli altri file nella root, quindi spero di poterlo fare abbastanza velocemente.
PS
Se può esserti utile ho fatto degli snapshot per i vari passaggi (ftp, editing delle righe di codice) da usare a corredo dell’articolo, fammi sapere e te li mando in qualche modo.
Bonaventura, sono io che ti ringrazio! Ricevere complimenti fa sempre piacere anche se l’argomento non è molto bello visto che riguarda un’infezione sul proprio sito da eliminare per permettere di continuare ad utilizzarlo al meglio!
Sono molto interessato agli snapshot da te realizzati ed è per questo che ti chiedo, se vorrai, di mandarmi una copia in modo tale da arricchire ulteriormente le informazioni riguardanti questa minaccia.
Ho pensato di inserirle in un articolo dedicato che continua a parlare di questo argomento…
Puoi scrivermi e inviarmi il materiale a questa mail: liberamentenet@yahoo.com
In attesa di riscontro, ti saluto cordialmente.
Mac La Mente
P.s. Ti invio una copia di questo messaggio direttamente sulla mail da te segnalata…
Meno male che ti ho trovato! Anche il mio blog è stato impestato, e ora sto provvedendo a tutte le sistemazioni. Grazie mille!
Prego Franz! Felice di essere stato utile!
Ciao Mac,
ho scritto anche io un Howto per quando l’exploit è di tipo diverso da TimThumb.
http://www.digitecconsulting.com/eliminare-i-virus-sul-wordpress/
Grazie per la segnalazione Michele! Ottima guida!
Grazie per i complimenti, let’s fight hacking.
Almeno sui blog personali! 🙂
Ciao, il 19 agosto c.m. ho riscontrato sul mio sito aforismiedintorni.it un malware: HEUR: Trojan.Script.Generic e un reindirizzamento ad un sito olandese che non avveniva per via del virus. Dando un’occhiata al codice ho notato che il file .htaccess era stato violato, al posto del codice originale c’era l’indirizzo dell’altro sito che ho eliminato e ripristinato.
Sapresti darmi qualche consiglio per eleimare il virus?
Non ho un backup del sito. 🙁
Ti ringrazio, Antonio.
Ciao Antonio,
innanzitutto mi dispiace molto che abbia questo problema, posso dirti che fare il ripristino dell’.htaccess è la prima cosa da fare in questi casi e che hai fatto benissimo!
Per eliminare il virus, che generalmente non va a toccare il database, ma i file che costituiscono il pacchetto ti consiglio (senza cancellare il database) di cancellare tutti i file, scaricare un pacchetto pulito e reinstallarlo!
Già che ci sei controlla anche il database, fai un backup da phpmyadmin presente nel tuo pannello di controllo del dominio e vedrai che le cose andranno a posto! 🙂
Ho fatto l’aggiornamento automatico dell’ultima versione di WordPress, ho aggiornato tutti plugin, i temi, tranne quello in uso.
Ho installato i plugin Wp antivirus e Sucuri Scanner ma non hanno trovato nulla.
Inoltre ho fatto la scansione con Sucuri SiteCheck e altri antimalwere on line ma ancora una volta non hanno riscontrato nessun virus.
Non so più cosa fare…!!! :(:(:(
Ti ringrazio, Antonio.
Ciao Antonio, se il problema è solo nell’.htaccess prova a rigenerarlo dal tuo pannello di controllo principale, mi riferisco a quello del sito e non di wordpress. COme fare? Scarica il file, aprilo e vedi quali righe di codice ci sono dentro…
Fammi sapere! Ciao!
Ciao,
ho un sito internet che è sotto attacco di un exploit credo, analizzato da sucuri mi dice che questi file hanno problemi:
Sucuri
status: Site with warnings
web trust: Not Blacklisted
Malware found on javascript file:
wp/wp-includes/js/jquery/jquery.js?ver=1.7.1
Malware found on javascript file:
wp/wp-content/plugins/slideshow-gallery-2/js/gallery.js?ver=1.0
Malware found on javascript file:
wp/wp-content/plugins/flv-embed/swfobject.js
Il maleware è stato identificato come: MW:EXPLOITKIT:BLACKHOLE1
secondo te che passi mi consigli di fare?
Grazie