logo wordpressNuovo Allarme WordPress, relegato a quanto sembra ai soli blog in Hosting su Network Solutions (http://www.networksolutions.com/). Un nuovo post su Krebs on Security informa di un redirect verso networkads.net/grep dei blog presi di mira.

L’attacco non effettua alcuna modifica ai files di WordPress, non modifica e non crea neppure files ma agisce sul database di WordPress (iniezione SQL?) in modo tale che ogni caricamento del sito web vittima porti ad un redirect verso il nuovo dominio. La diretta conseguenza di tale hack è l’impossibilità di poter amministrare WordPress, è possibile tuttavia accedere al proprio database, tramite phpmyadmin per poi effettuarne il download e apportare le opportune modifiche per fronteggiare l’hack.

E’ ancora dubbio se si tratti un iniezione sql oppure di un plugin malevolo, uploadato dai possessori dei siti web che ha causato tale anomalia. Trattandosi di un fenomeno circoscritto (sono le parole di K.O.S) l’impressione è che possa trattarsi di un problema lato hosting. Network Solutions si è subito mobilitato dichiarando d’aver analizzato ciò che è successo, dicendo anche, senza fornire le prove, che tale problema non è nei soli blog in hosting presso Network Solutions.

Attenzione, qualora visitiate un sito colpito dall’hack (in hosting presso Network Solutions) e veniate dirottati sul dominio networkads.net/grep, sappiate che tale pagina cerca di installare un componente Active X la cui identificazione sembra ancora scarsa dai principali AntiVirus in Commercio, Virustotal.com afferma che sono in 7 su 39 gli AntiVirus a “decretare” il componente come malevolo.

Il consiglio di Network Solutions è agire dalla propria interfaccia di amministrazione cambiando nella tabella wp_options l’url sostituendolo con quello del proprio sito.

Concludiamo ricordando l’intervento di David Dede la cui opinione è completamente diversa, afferma che molti siti oggetto dell’hack sono stati nuovamente oggetto dello stesso hack dopo un installazione ex novo di WordPress, analizzando i logs non si segnalava alcun accesso remoto. L’impressione di David Dede è quindi che non si tratti affatto di un plugin…

I consigli rimangono sempre gli stessi, controllare che il proprio script sia aggiornati, controllare che i propri plugins non abbiano problemi di sicurezza ma anche intervenire lato server per controllare che firewall e i componenti degli script di amministrazione siano aggiornati all’ultima release..

Attenzione ! Abbiamo cambiato dominio !

Prosegui la lettura su Pausa Web !