Verme ataca WordPress.


Um Worm (verme) está atacando instalações do WordPress que ainda não foram atualizadas para a versão 2.8.4. Esse Worm se aproveita de uma vulnerabilidade de segurança em versões antigas do WordPress e efetua algumas alterações na configuração do site/blog.

A primeira e imediata providência é atualizar o WordPress para sua última versão, que no caso é a 2.8.4.

Para saber se o seu site foi vítima, o que observar?

– O blog/site apresenta uma alteração na configuração dos permalinks (links permanentes). Para quem usa essa funcionalidade, a mesma é desligada e volta ao padrão (o endereço fica assim: http://www.example.com.br/?p=884).

– Outro sintoma é um acréscimo estranho no permalink de seu blog, como example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/ The keywords are “eval” and “base64_decode.” As palavras-chave são “eval” e “base64_decode”.

– Existe também um Administrador Oculto. Você reparará que as configurações de Usuário apresenta uma quantidade de administradores diferente da real. Exemplo: Você tem 2 administradores cadastrados e a quantidade aparece 3. Você não conseguirá visualizar e editar as configurações desse administrador oculto, em condições normais.

Providências:

Comece fazendo um backup do site, inclusive o banco de dados.

Além de atualizar a versão, altere a senha do(s) administrador(es). Use uma senha forte. Isso, somente, não remove o Worm.

No Painel administrativo; Configurações; Links Permanentes; apagar os Links Permanentes ou reconfigurá-los, conforme o caso.

Para descobrir o administrador oculto, você deverá observar o id do último usuário que se cadastrou e clicar em “Editar”, veja no exemplo abaixo:

I1

Deverá ser um endereço assim:

http://www.example.com/wp-admin/user-edit.php?user_id=99&wp_http_referer=%2Fwp-admin%2Fusers.php

Pegue e edite esse “último usuário” (teoricamente será o maior ID entre os usuários existentes). No endereço substitua na parte “user_id=99” pelo próximo número, no nosso exemplo 100, e digite enter. Você deverá entrar na tela de edição do usuário id=100, que será o usuário oculto. No caso do worm aparecerá uma extensa linha de códigos no lugar do primeiro nome, então elimine esse código, altere o nível do usuário para assinante, retirando de administrador, digite um endereço de email (pode ser falso) no campo que estará vazio e salve. Depois selecione o usuário e exclua.

Se você receber um erro no user_id=100, tente 101, 102 (são apenas exemplos), pois em alguns casos o worm “pula” a numeração para confundir. Se ao deletar o usuário der erro, o jeito será deletá-lo usando o PHPAdmin. Tome os devidos cuidados ao manipular diretamente o banco de dados, se não souber, peça ajuda e consulte tutoriais na rede.

Uma outra forma de encontrar o id do usuário oculto, é acessar o Painel, Autores e Usuários, e ver o código fonte a procura de algum usuário que não aparece na página. Efetue uma busca por “tr id” no código fonte e aparecerá “user-100” que significa que o id do usuário é 100. Procure por id de um usuário que não apareça na lista normal.

O worm altera os arquivos listados abaixo:

/. htaccess (*)
/ wp-Load.php
/ wp-admin/link-category.php
/ wp-content/index.php
/ wp-includes/class-wp-dependencies.php
/ wp-includes/index.php (adicionado) (*)

Ao efetuar o upgrade os arquivos são corrigidos exceto os marcados com (*).

/. htaccess

Convém verificar.

/ wp-includes/index.php

Seria o caso de deletar, pois a instalação original não o possui, mas se quiser ocultar o conteúdo da pasta, crie um index.php vazio.

Fontes:

http://www.mestreweb.com/2009/09/06/worm-ataca-computadores-com-wordpress-nao-atualizados/

http://www.journeyetc.com/uncategorized/wordpress-permalink-rss-problems/

http://blog.nachotech.com/?p=125

http://wordpress.org/support/topic/297639/page/3

http://lorelle.wordpress.com/2009/09/04/old-wordpress-versions-under-attack/

Para finalizar. Não é um worm exclusivo do WordPress. São muitas informações sobre esse worm, mas não esgota o assunto. Os links apresentados ajudam muito. Caso haja necessidade de complementar voltamos ao assunto.

Comente