Hanno ribucato il sito (e siamo a 2)

Come già successo due mesi fa, m’hanno ribucato il blog: francamente due volte a distanza di due mesi è troppo.

Le modifiche apportate sono le stesse: hanno modificato gli stessi file dell’altra volta, aggiungendo sempre il mailcheck.php. Le stringhe questa volta erano leggermente diverse, ma nello schema identiche.

Evidentemente i server di Aruba sono vulnerabili e di sicuro nello stesso server c’è un dominio che fa da portone d’ingresso.

“Stasera è un’ecatombe” (cit., almeno qui, qui e qui).

Report di cracking

Oggi, 22 gennaio 2010, alle 13,09, un criminale ha messo il naso tra i file del blog e delle altre piattaforme installate e ne ha modificati alcuni, rendendo il blog inutilizzabile. Me ne sono accorto verso le 16, quando vedo la home completamente bianca. Al posto del codice HTML c’era una lunga serie di numeri.
Entro via FTP e trovo che l’unico file modificato nella root dopo una certa data era wp-config.php. Presentava come prima riga:

<?php eval(base64_decode('aWY... ecc.

Visto che tutte le altre erano corrette, elimino la riga ma si presenta un ulteriore problema. Apro la pagina home e risulta ancora bianca; il sorgente della pagina diceva:

<script language="javascript">$a="Z63dZ3... ecc.

Il criminale aveva modificato ovviamente altri file. Scarico in locale tutta l’installazione di WordPress e con

grep "Z63dZ3" -nir . > ~/modificati

mi cerco tutti file che contengono la stringa. L’elenco è il seguente:

  • /wp-admin/index-extra.php
  • /wp-admin/index.php
  • /wp-includes/default-filters.php
  • /wp-includes/default-embeds.php
  • /wp-includes/default-widgets.php
  • /index.php

Ne apro uno e trovo all’inizio del file:

<?php ob_start('sec... ecc.

Tutti contenevano la medesima riga. Li sistemo e il blog torna online. Ovviamente aggiorno l’intera installazione.

Oltre ai file di WordPress ha modificato i file:

  • per bbPress, il file index.php;
  • per MediaWiki, i file index.php e index.php5. Qui ha aggiunto il file mailcheck.php nella directory root di MW.

Tempo impiegato per scoprire i file manipolati: ~5 minuti.
Tempo impiegato per rimettere online il tutto: ~1 ora, comprensivo di analisi varie.