Report di cracking

Oggi, 22 gennaio 2010, alle 13,09, un criminale ha messo il naso tra i file del blog e delle altre piattaforme installate e ne ha modificati alcuni, rendendo il blog inutilizzabile. Me ne sono accorto verso le 16, quando vedo la home completamente bianca. Al posto del codice HTML c’era una lunga serie di numeri.
Entro via FTP e trovo che l’unico file modificato nella root dopo una certa data era wp-config.php. Presentava come prima riga:

<?php eval(base64_decode('aWY... ecc.

Visto che tutte le altre erano corrette, elimino la riga ma si presenta un ulteriore problema. Apro la pagina home e risulta ancora bianca; il sorgente della pagina diceva:

<script language="javascript">$a="Z63dZ3... ecc.

Il criminale aveva modificato ovviamente altri file. Scarico in locale tutta l’installazione di WordPress e con

grep "Z63dZ3" -nir . > ~/modificati

mi cerco tutti file che contengono la stringa. L’elenco è il seguente:

  • /wp-admin/index-extra.php
  • /wp-admin/index.php
  • /wp-includes/default-filters.php
  • /wp-includes/default-embeds.php
  • /wp-includes/default-widgets.php
  • /index.php

Ne apro uno e trovo all’inizio del file:

<?php ob_start('sec... ecc.

Tutti contenevano la medesima riga. Li sistemo e il blog torna online. Ovviamente aggiorno l’intera installazione.

Oltre ai file di WordPress ha modificato i file:

  • per bbPress, il file index.php;
  • per MediaWiki, i file index.php e index.php5. Qui ha aggiunto il file mailcheck.php nella directory root di MW.

Tempo impiegato per scoprire i file manipolati: ~5 minuti.
Tempo impiegato per rimettere online il tutto: ~1 ora, comprensivo di analisi varie.

Autore: Aldo Latino

Aldo Latino usa con entusiasmo Linux nella distribuzione Ubuntu, è un appassionato di WordPress e si diletta a fare il blogger. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

12 pensieri riguardo “Report di cracking”

    1. Non lo so. Ho guardato il log di Aruba, ma era già sovrascritto da altre linee di errore visto che avevo messo offline il dominio via htaccess.

      E non credo neanche di poterlo scoprire facilmente, visto che sono su un hosting condiviso.

  1. Da scarso conoscitore di WordPress, direi che se l’attacante è arrivato al wp-config.php, mi sarei aspettato anche un accesso al DB.

    1. Certo, ma questo attacco ha tutta l’aria di un’azione eseguita da uno script: il danno sembrerebbe limitato solo ai file elencati. Probabilmente il cambio del prefisso standard delle tabelle di WordPress ha influito. Ho esaminato il db e non parrebbe esserci nulla di strano.

  2. Mi era capitata una cosa simile su un sitino fatto in Drupal. In quel caso si era trattato di un virus sul pc di uno che aveva i dati FTP salvati dentro un client. Questo worm ha letto i dati e si è connesso all’ftp, sporcando in automatico tutti i file php e js. In quel caso comunque era solo un tracking cookie, però per rimettere a posto le cose ci è voluto più tempo.

    1. Non è detto che la cosa sia dipesa da Aruba. In quel momento avevo installato WordPress, phpBB3 e MediaWiki: dei tre parrebbe che quello più bacato sia l’ultimo.

  3. Ciao Aldo ho un problema molto simile Invece di visualizzarsi http://www.womarketing.netsons.org appare un altro blog alberghi.me ma non rieco a capire come risolvere. Prima era una cosa temporanea ora sembra quasi permanente ho fatto attempo ad aggiornare il blog alla versione 3.0.2 credo ma prima è la versione precedente alla 3.

    Ho controllato il file wp-admin ma non trovo nessun tipo di bot di quelli segnalati da altri blogger. Insomma 4 anni di blogging stanno per svanire nel nulla

    soluzioni?

    grazie
    Andrea

    1. 1. Nel database ci sono ancora i dati di 4 anni di blogging?
      2. La directory wp-content contiene ancora le immagini e quant’altro tu hai caricato nel tempo?

    2. Secondo me ti hanno semplicemente sporcato l’header del tema oppure le preferenze per pescare i dati da un altro sito…

I commenti sono chiusi