Nella nottata è stato defacciato il nostro blog, mentre wiki e forum non hanno subito attacchi, ciò fa supporre si tratti di un problema legato a WordPress o ad uno dei plugin installati.
Abbiamo ripristinato il tutto (è stato inserito un semplice file html in sostituzione dell’index.php, e stiamo indagando sull’accaduto.
Purtroppo io sono in procinto di partire per Milano e solo nel pomeriggio tornerò ad avere un accesso internet e quindi i tempi di indagine si protrarranno più del dovuto.
Non risulta al momento un problema di sicurezza con WP nella sua ultima versione, quindi sospetto trattasi di uno dei plugin. Appena identificato il problema faremo una nuova comunicazione per informare tutti gli utenti delle eventuali misure da prendere per garantire la sicurezza al proprio blog ai massimi livelli.
Grazie a tutti quanti ci hanno segnalato il problema.
13 commenti su “Defacciamento WordPress Italy”
firepol
28 Aprile 2006 at 10:05Suggerisco vivamente di disattivare i plugin più sospetti, o di aggiornali al volo se esistono nuove versioni (magari controllando i changelog delle nuove versioni vedi che è stato corretto qualche buco di sicurezza).
Invece, avvertire dell’assenza nel pomeriggio ritengo che non sia stata una grande idea. Sembra dire agli hacker “tornate pure questo pome che potrete agire indisturbati”.
Come minimo cambia la password di root e di admin e fatti un backup (copiateli sul tuo PC a casa) dei log di apache.
Io controllerei anche i permessi dei files. wordpress-it è hostato in shared hosting? la tua home directory à© chmoddata 777? Se c’è sta una injection, invece, puoi modificare tutti i permessi che vuoi ma finchè il plugin bucato non viene disattivato il sito rimane alla mercà© dei defacer.
Non è un momento facile, non v’invidio. Spero che troverete al più presto la causa. Un augurio d’incoraggiamento.
Domenico Cannillo
28 Aprile 2006 at 16:22La mamma dei c******i è sempre incinta! Poveracci!
In bocca al lupo
batdevis
30 Aprile 2006 at 15:51c’era x caso il messaggio
By Thehacker & Metlak
Ownz Your System
{Turkish hackers}
?
Haruka
2 Maggio 2006 at 17:28E’ successo anche a me e vi dirò di più: mi ha scritto Aruba avvertendomi che tramite il mio dominio erano in atto degli attacchi al loro server.
Evidentemente non basta ripristinare il file index…
Che si fa?
batdevis
3 Maggio 2006 at 16:51che versione di WP avevi installato?
bt79
4 Maggio 2006 at 19:00Oggi al mio rientro mi sono trovato la home page completamente bianca, ed un index.php scritto così:
Mi sono loggato e mi ha chiesto di aggiornare il db, fatto e tutto è tornato a posto. C’entra qualcosa con questi ultimi eventi?
bt79
4 Maggio 2006 at 19:04Scusate, ho fatto casini col blockquote… riporto l’index.php:
/* Short and sweet */
define(‘WP_USE_THEMES’, true);
require(‘./wp-blog-header.php’);
Haruka
5 Maggio 2006 at 10:27#batdevis: la 2.2 …
ZipGenius
5 Maggio 2006 at 16:31Questi hackers turchi ultimamente sono molto attivi. Dal 27 aprile il server in cui ho i miei siti è stato bucato in una maniera veramente bieca e l’hacker si è installato una web-shell dalla quale controllava tutto il server.
Buona fortuna e solidarietà 😉
ZipGenius
5 Maggio 2006 at 16:33Dimenticavo: se agli admin servono informazioni su come hanno bucato il mio server, possono tranquillamente inviarmi una mail.
Nel frattempo consiglio loro un grep in tutto il server per cercare la parola “r57shell”.
Andrea Paiola
11 Maggio 2006 at 21:20Allora si può sapere che è successo?
Immagimario
15 Maggio 2006 at 12:01Ciao potresti pubblicare un post con la spiegazione e la soluzione al problema, da condividere con tutti gli utilizzatori di wordopress?
Thanks per il blog, ma ancora di più per il wiki 😉
luciano
23 Gennaio 2014 at 23:04Ho subito il defacciamento di wordpress, mi esce la frase
mr lamer
p atch your system
Ho aggiornato wordpress da 3.1 a 3.8 ma il problema è rimasto.
Il file index.php l’ho sostituito ma la frase rimane, quindi deve risiedere altrove.