Magicincludeshell.txt e WordPress 2.2.x

Ne avevano parlato qualche giorno fa su wordpress-it e su weblogstoolscollection, ma fino a quando non si prova in prima persona tutti sono restii ad aggiornare un blog, soprattutto se ha una template che usa plugin non più sviluppati o con codice che non sfrutta a pieno le API del sistema.

Beh, qualche giorno fa un blog da me gestito è stato “infettato” da uno script malevolo chiamato Magicincludeshell.txt che si installa come plugin nascosto nelle installazioni di WordPress precedenti alla 2.5 e che impedisce la pubblicazione di nuovi post.

Altra cosa “scomoda” che fa questo plugin è convertire tutte le pagine in post (non le cancella però).

Per scoprire se il proprio blog è infetto basta provare a postare, se comparirà una pagina bianca allora avrete la certezza di dover mettere mano al vostro db per ripristinare il sistema.

Innanzitutto disattivate tutti i plugin usando il bottone “disattiva tutti i plugin” e poi aprendo il DB andate a cancellare l’entry in wp_options contenente una stringa simile a {i:0;s:71:"/../../../../../../../../../../../../../../../../../tmp/ro8kfbswmag.txt" relativa alla colonna option_value.

Controllate inoltre il path di upload di WordPress, ripristinando se necessario quello di default.

Finita la rimozione del rootkit (se così lo vogliamo chiamare) è necessario ripristinare le pagine trasformate in post, il modo più semplice è quello di cercare tramite phpMyAdmin all’interno della tabella wp_postmeta tutti gli ID dei post che hanno come meta_key il valore _wp_page_template.

Un bel

SELECT post_id FROM wp_postmeta WHERE meta_key = '_wp_page_template';

dovrebbe farvi avere gli id delle pagine trasformate in post, quindi sempre da phpMyAdmin andate nella tabella wp_posts, cercate gli ID in questione e aggiornate il valore post_type in “page“.

Abilitate ora i plugin uno ad uno ed il gioco è fatto. Adesso aggiornate a WordPress 2.5.

ciuaz

  • Beh, chi utilizza WP 2.3.3 è al sicuro al momento…
    Ciao,
    Emanuele

  • Matteo

    Ma quale versione di wordpress è afflitta? la 2.0.x che viene ancora sviluppata è sicura? E la 2.3.3??

  • la 2.0 svn è sicura, la 2.2.x no, la 2.3.3 penso convenga aggiornarla (ho letto un paio di post in giro, ma nessun advisory ufficiali e non ho avuto il tempo di indagare di persona)

  • Matteo

    Brutta questa notizia. In giro se ne vedono ancora tantissime di versioni 2.1.x e 2.2.x e 2.3.x …. addirittura qualcuno rimane indietro perchè la 2.5.x ha dato un certo numero di problemi con il plug-in ….. speriamo che questo problema affligga solo la 2.2

  • a me capita spesso di avere una pagina bianca dopo aver fatto click su “pubblica”, ma basta un refresh del browser sull’ URL del blog e vedo tutto correttamente …. non mi preoccupo quindi, sbaglio ?

  • per me hai qualche plugin che fa crashare wordpress (tipo Google SiteMaps, prova ad aumentargli la memoria dalle opzioni)

  • valentina

    ciao ragazziiiii….mi serve un aiutoooooo…sono 15giorni che tento di aprire i blOg dei miei amici ma mi viene 1a pagina vuota,bianca.:-(
    cm posso fare x risolvere questo problema? finora nn ho mai avuto problemi ad aprire i blog…:-( un bacione a tttttttt

%d bloggers like this: