In giro per la rete si parla di un attacco abbastanza esteso ai blog wordpress ospitati su server Aruba.
Non sono solito segnalare le vulnerabilità di sistema Wordpress perché 9 volte su 10 vengono corrette prima ancora che si manifestino in massa. Questa volta la cosa è diversa.
Sembra che i sistemi attaccati abbiano installato Wordpress su Server Aruba. Google sta bloccando decine di siti anche tra i più consociuti. Quindi se hai un blog con queste caratteristiche prova a dare un occhiata nei tuoi file.
Un attacco di questo genere può portare notevoli disservizi. Un blog che lavora (come la maggior parte) principalmente con Google potrebbe vedersi azzerare completamente gli accessi…
Il codice malevolo è un javascript inserito nella pagina.
Se sei stato attaccato le cose che puoi fare da subito per tutelarti sono:
- cambiare la password dell’ftp
- rimuovere i file dell’installazione (eccetto la cartella wp-content e il file wp-config.php) e ricaricare i file di nuovo
Controlla comunque lo stato della cartella wp-content la quale, sebbene necessaria perchè contiene tutti i contenuti del tuo blog, potrebbe essere stata comunque infettatta.
Non avendo subito l’attacco non sono in possesso di ulteriori notizie, quindi se hai news non esitare a scriverle nei commenti
Ecco una lista di altre risorse che potrebbero interessarti:
Condividi
Se hai trovato interessante questo post, condividilo con i tuoi amici tramite i social network:
Non sempre si trova alla fine. Nei due casi in cui ho subito l’attacco, la riga è stata inserita sempre all’inizio del file.
Per quanto riguarda wp-content, si guardi anche l’index.php di questa directory, oltre che i file dei temi usati.
quindi avevano infettato anche dentro la cartella wp-content… Così è veramente brutta la cosa…
io per ora ho visto solo index.php nella root
Anche tu su server Aruba?
Sì, su Aruba.
Nel mio caso poi, quello di gennaio, infettarono anche la root della mia installazione di MediaWiki (che ho tolto per precauzione).