Mea culpa, mea culpa, mea maxima culpa sembra proprio che mi abbiano sfondato il vecchio Wordpress 2.2.3 che non aggiornavo per pigrizia :)
Me lo merito! Lazzarone come sono! Ma stavo facendo altro, e lo sapete…
A quanto pare hanno sfondato nel più classico degli scenari una pagina PHP contenente una vulnerabilità (index-extra.php) e tramite questa uplodato contenuto vario ed eventuale per poi modificare user e password, postare un paio di articoli, uplodare file ed alla fine esportare tutto il DB l’export di tutti i Post tramite la fuzione di esportazione di Wordpress (buon pro vi faccia =]).
Il fingerprinting della versione di Wordpress è stato fatto grazie alla vecchia tecnica dei CSS di Admin e gli articoli sono stati online per ben 2 ore!
Interessante però notare come il tutto sia stato fatto partire dall’IP 213.230.130.53, probabilmente sfondata, in zona Roma…
Ma MOLTO più interessanti i dati dello stesso User Agent, una stringa MOLTO particolare (browser particolare, versione particolare), che qualche ora prima si è collegata invece da un indirizzo IP facente capo all’Università di Milano e sicuramente riconducibile più semplicemente riconducibile alla persona, che in questo momento deve avere le chiappe che scottano un pochino…
Ora che si fa?
Come al solito lascio passare qualche ora in attesa di scuse da parte del buontempone (i contatti li conoscete) o, altrimenti, si procede con denuncia per accesso abusivo ed arriva la mail dell’acaro :) e così direi che siamo pari… Ed imparo a tenere aggiornato!
E nel caso vi capitasse resettare la password di Wordpress non è poi così complesso.
Ora, però, nanna!
Post Simili
»L’acaro suona sempre due volte…
»CDN, ottimizzazione e cache remota di immagini per Wordpress
»Problemi di registrazione…
»Il Virus per il sistema che non c’è…
»Nuovo sito online…
»Google Talk su GAIM e TRILLIAN
»SEO ed il nuovo brevetto di Google
»Microsoft “Genuine Advantage” craccato in 24 ore
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
29 Jan 08
8:10 am
Quando la gente ha tempo da perdere… questi sono i risultati!
Peccato per il database che contiene le e-mail di tutti i commentatori.
Fortuna comunque che te ne sia accorto presto…
Ciao,
Emanuele
29 Jan 08
9:22 am
@Emanuele
No, nulla di tutto questo. Non si sono portati via il database ma hanno fatto un export dei post con le funzioni di Wordpress.
La macchina (sistema operativo e filesystem) non ha subito alcun tipo di violazione ;)
29 Jan 08
9:28 am
Ho letto gli articoli nel mio feed reader: simpatico l’hacker ;)
29 Jan 08
9:39 am
Utile rischiare una denuncia per esportare dei post disponibili pubblicamente :) E io che non volevo aggiornare a wp 2.3.2 :)
29 Jan 08
9:45 am
@Fabrizio
Per cortesia! Hacker? Kiddie!
Ha guardato su MilWorm e ha cercato il primo script disponibile! :)
Ovvio, questo non fa di me una persona meno deficiente per non aver aggiornato… ;)
29 Jan 08
9:50 am
.. si ma le nostre email (di chi commenta) stanno dentro a Wordpress e sono esportabili sia da database sia semplicemente mirrorando il menu “Commenti” .
Tenere aggiornato un WP è molto tedioso perchè non ha procedure di upgrade automatico. Ma tu eri proprio di una milestone indietro :p ,non ci sono scuse :p
29 Jan 08
9:57 am
@Gabriele
Il menu commenti sono 900 pagine che non sono state (dai Log) visitate.
E’ stata esportata, invece, la copia dei post con la funzione:
wp-admin/export.php?
Ma in questo caso non vi è perdita di dati…
Per il resto hai perfettamente ragione e credo che ora che Wordpress ti avvisa in automatico sarà più semplice ricordarmi ;)
29 Jan 08
10:25 am
Dalle mie parti si dice…il figlio del calzolaio ha le scarpe rotte :-D
29 Jan 08
10:29 am
e dire che ne avevamo parlato a casa tua dei bug di wp 2.2.3 ancora a novembre… :P
cmq l’export di tutto prende anche i commenti e relative email, ottimo per chi vuole fare un po’ di spam con una nuova lista di vittime..
29 Jan 08
10:58 am
@Fullo
Spero che il reminder che ora WP mette nell’interfaccia di amministrazione mi serva come monito ;)
29 Jan 08
11:41 am
Bella li! Era capitato anche a me quando usavo Flog, che era bacatissimo e, se non fosse stato per i backup (Nostra Signora della Ridondanza…) il mentecatto mi avrebbe fatto perdere TUTTI i post irrimediabilmente… cancellati !!! Ma si può? che etica è?
Cmq… ma uno che se ne fa dell’export del DB dei post pubblici? Cioè… perche? Cui prodest?
Ok, è un bel trofeo di guerra, non c’è che dire… ma perche???
Bah…
29 Jan 08
2:20 pm
So che non ti servono consigli sull’argomento ma magari ti è sfuggito: il plugin automatic upgrade è veloce e funziona meglio di quando devo aggiornare a mano (ex. ti fa uno zip coi vecchi file di wp nel caso dovessi ripristinare), tra quello e oneclick install ho aggiornato una decina di blog in mezza giornata (wp + plugin)
29 Jan 08
4:33 pm
[...] da invito a farsi avanti del mio post sull‘owning di LastKnight.com ecco la risposta del nostro [...]
29 Jan 08
4:57 pm
Anche io ho una “vecchia” versione di WP ma mi ostino, non per pigrizia ma per necessità, a doverla tenere. Quando toccherà a me voglio proprio ridere.
@Matteo: ed io che avevo paura di disturbarti mandandoti un sms per avvertirti a mezzanotte, se lo sapevo ti telefonavo, si faceva quattro chiacchere e per sentire le tue imprecazioni del momento =)
@theo: si, il plugin potrebbe esser comodo ma stai attento in quanto non va sottovalutata la problematica della retrocompatibilità con i plugin.
29 Jan 08
5:15 pm
@david: eh… c’è di buono che con la nuova versione i plugin problematici falliscono l’attivazione, inoltre se sono presenti nella directory di wp.org, vieni avvertito della nuova versione. e con oneclick è un attimo aggiornare.
05 Feb 08
12:02 pm
pensa ke io sono passata direttamente dalla 2.2 alla 2.3.2 :D cavolo quant’ho rischiato!!!
08 May 08
7:12 am
[...] pratiche sul “blindaggio” di Wordpress, che ho dovuto imparare a mie spese dopo certi episodi di questo blog… Non prometto nulla, ma se fate un salto Sabato a Milano potrei esserci anche [...]