Advarsel: Tjek om din WordPress er ramt af remv.php (phpRemoteView)

13. december, 2008

Der er desværre en slem WordPress angriber på spil for tiden, og du kan lynhurtigt tjekke om du er ramt. Hvis du er ramt, får du her opskriften på at fikse problemet.

Det er tilsyneladende en rigtig slemrian vi har at gøre med denne gang. Den hedder remv.php eller phpRemoteView, og kan blandt andet lave din webserver om til en zombie DDoS djævel, som kan angribe andre tjenester på nettet.

Sådan tjekker du om du er ramt

Gå ind via FTP og se i din wp-content mappe og derefter i din themes mappe. Hvis der i mappen, ‘themes’ ligger en fil der hedder ‘remv.php’, så er du ramt. Hvis ikke, er du sikkert ikke.

Hvis du er ramt

Her er hvad du gør, hvis du har remv.php liggende i din themes-mappe:

  1. Slet filen remv.php
  2. Opdatér WordPress til seneste version.
  3. Log ind i dit webhotels kontrolpanel og skift adgangskode til FTP og MySQL-databasen
  4. Log på med FTP (med det nye password) og find wp-config.php filen og ændre ‘define(‘DB_PASSWORD’, ‘ditgamlepassword’);’ til ‘define(‘DB_PASSWORD’, ‘ditnyeMySQLPassword’);’
  5. Log in i /wp-admin/ og ændre alle brugeres password til noget nyt og svært.
  6. Tag backup af alle dine plugins og slet dem så fra FTPen. Download de friske og nyeste versioner af dine plugins forfra igen og aktivér dem i /wp-admin/

Det skulle klare ærterne!

Hvis du er ekstra paranoid eller hvis du bruger denne liste til at løse et andet problem med hacking af WordPress end lige remv.php / phpRemoteView, kan du også overveje at downloade en frisk og opdateret version af dit tema samt at tjekke posterne igennem for indlejret snavs via et par af de link-tjekkere, som jeg har skrevet om, og evt slette det via phpMyAdmin eller Search and Replace. Snup også lige dette WordPress sikkerheds plugin  for en god ordens skyld.

Hjælp også din webhost!

Det er fint nok, hvis du ikke har remv.php eller hvis du har fjernet den, men hvad med din nabo som måske har sin installation på samme server som dig? Hvis du synes, kunne du jo lige skyde en hurtig mail til supporten hos din webhoteludbyder og fortælle dem om faren og foreslå at de lige søger serverne igennem på tværs efter den der remv.php fil, ikke? icon smile Advarsel: Tjek om din Wordpress er ramt af remv.php (phpRemoteView)

Går noget af alt det her i fisk, så har du mit nummer, og du er også velkommen i kommentarfeltet lige her på siden!

 

Gemt under Sikkerhed 10 kommentarer

Google Reader eller Google Startside

Abonnér på RSS Feed

10 kommentarer

Saugstrup 13. december, 2008:

Glemte lige at nævne at jeg har bekræftelse på at også den danske del af internettet er ramt af dette angreb. Udstrækningen kender jeg ikke endnu, men skal nok rapportere ind, når jeg ved mere.

Skriv en kommentar, hvis du er ramt eller hører om nogen der er.

Morten 13. december, 2008:

Tak – har lige checket min blog, og jeg er vist sikker (for nu).

Det ville dog også være skidt, hvis jeg skulle downloade en ny tema-version, for jeg har en del tilrettelser til originalen.

Kim Andersen 13. december, 2008:

Ja tak for advarslen Anders. Jeg har vist også klaret frisag, men tak for guiden under alle omstændigheder…

Saugstrup 14. december, 2008:

Har lige fået melding fra en stor webhost. De scannede 13.000 domæner og fandt 3 ramte installationer. Så det er ikke særligt udbredt i Danmark (endnu). Lad os håbe at det forbliver sådan.

Marcel Fuursted 14. december, 2008:

Tak for et godt indlæg, Anders…

Mikael Rieck 15. december, 2008:

Anders, har du nogen ide om hvordan eller hvorfor man bliver ramt?

Saugstrup 15. december, 2008:

Nej, bedste bud er at det sker på ældre versioner WordPress eller måske et plugin, men jeg ved det ikke med sikkerhed endnu.

Har antennerne ude, og skal nok opdatere jer, når jeg forhåbentlig bliver klogere – også klogere på om fx opdatering til version 2.7 sikrer effektivt mod angrebet.

Thomas From 18. december, 2008:

Kører v2.1.3 (I know – burde have opdateret for laaaang tid siden). Jeg er det sidste par måneder blevet ramt et par gange af noget injected kode i min header.php.
I første tilælde blev alt google trafik på mit domæne redirected til en spam side – udover at jeg missede en masse trafik, påvirkede det også min PR ganske betydeligt :-(
I andet tilfælde gjorde koden det muligt for hackeren at skrive blogposts på min blog…
Så jeg kan kun anbefale at holde WP opdateret!

Kan i iøvrigt forklare mig hvordan sådan en kode kommer ind i min header??

Jeg følte mig faktisk hel smigret over at nogen ville hacke mig ;)

(se mere her: http://www.thomasfrom.dk/2008/08/29/jeg-er-blevet-hacked/)

John 8. januar, 2009:

“Hvis du er ekstra paranoid”

Jamen, man da snart blive det :)

Men tak for advarslen.

Maria Rasmussen 5. november, 2010:

Er der nogle der ved, om det stadig er aktuelt i forhold til den nyeste version af WordPress?

Skriv en kommentar

Email offentliggøres ikke.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

Forfatter-links i kommentarer er som udgangspunkt nofollow. Jeg tildeler manuelt dofollow links til superkommentatorer, som er særligt aktive og hjælpsomme i deres kommentarer. Skriv altid dit rigtige navn - ikke søgeord!