E’ passato un po’ di tempo dal rilascio del Test di contagio per WordPress, e stavo tirando le somme. Rilasciato il 5 giugno, è stato usato ad oggi oltre 1200 volte. Non ho contato quanti blog infetti ha trovato, sicuramente qualcuno.
Quello che è certo è che ha avuto una certa risonanza su vari siti e blog, primo fra tutti il gentilissimo Suzukimaruti, che ha avuto il coraggio (e credetemi ce ne vuole, visto il livello di boria che c’è in giro) di esporre in tutta sincerità i fatti, ammettendo di aver avuto un incidente di sicurezza, ed ha collaborato con me fornendomi i dettagli per rendere ancora più efficace il test di contagio.
Come lui altre persone, poche per la verità, che si sono offerte di passarmi tutto il contenuto del loro blog, codice e dump del database, affinché io potessi esaminarlo e creare non solo il test, ma anche tutta la documentazione che potete leggere su questo sito, a vostro beneficio. Persone a cui è stato assicurato l’anonimato, per motivi che dovrebbero essere lampanti. Per chi si domanda il perché, un suggerimento: boria (degli altri) e wannabe (acari della polvere).
Molti, di cui ho scoperto tramite query di Google e di altri motori di ricerca l’infezione al blog, quella vera, pericolosa, sono stati avvertiti da me personalmente, tramite e-mail o messaggi nel blog, ovviamente dotato di moderazione. Nel messaggio chiedevo se era possibile avere il codice del sito e, in seconda istanza, anche il dump del database, assicurando l’anonimato e chiedendo ovviamente l’autorizzazione alla pubblicazione di quanto avessi scoperto sul modo in cui era stato violato il blog. Pochissimi hanno risposto affermativamente. Una persona, gentilissima, mi ha anche offerto l’accesso diretto allo spazio in hosting, di cui mi avrebbe spedito le credenziali, per indagare sulla tecnica di intrusione e violazione del blog.
Gli altri che hanno risposto ho dovuto anche faticare per convincerli che stavo facendo loro un favore.
Ebbene sappino i signori che se hanno potuto pulire il proprio blog, e se hanno potuto verificarne l’integrità devono ringraziare queste persone che si sono offerte di rilasciare il codice del sito ed il contenuto del database per l’analisi. Loro è il merito, e grazie queste persone lor signori hanno potuto usare quanto messo a disposizione senza alcun onere in questo sito, sotto forma di test e documentazione. Avrei potuto chiedere dei backlink, cosa abbastanza comune nei blog. Nemmeno questo ho chiesto, non so che farmene.
Alcuni hanno equivocato lo scopo del test, confondendolo per un test di “infezione del tema di WordPress”, che è tutta un’altra cosa, come ho spiegato qui. Col risultato di far stare tranquillo chi ha un tema “troianizzato”, perché il test serve a tutt’altro. Eppure sulla pagina di test c’è spiegato di leggere la documentazione, e nelle avvertenze c’è scritto che non è un test per temi “troianizzati”. Anche su WordPress-it c’è spiegato chiaramente che non è un test per temi infetti, ma non basta. Evidentemente sono io che non riesco ad essere chiaro.
Tutti gli altri non hanno nemmeno ringraziato.
Ci sono ancora molti blog violati là fuori, ed ogni giorno se ne aggiungono altri, l’attacco è tutt’altro che terminato. Ogni volta che faccio una delle query con uno dei motori di ricerca escono nuovi blog, appena violati. Il codice usato per l’intrusione è in evoluzione rapida, e chi lo sviluppa è uno in gamba, non un cretino qualsiasi. Conosce a fondo PHP, Javascript, AJAX, WordPress, tutti i protocolli del web. Meglio di chiunque altro nei paraggi, molto meglio di me che ne so veramente poco. Lo scopo dell’intrusione è per il momento di fare solo spam, o di iniettare virus attraverso il browser ai visitatori, ma non è detto che rimanga quello. E se una volta violato ed aperto il vostro blog lo vendessero ad una organizzazione criminale dedita al phishing, o peggio?
Vi trovate “bannati” da google? Ossia del vostro sito non v’è più traccia in Google? Siete entrati nella lista di stopbadware.org? Technorati vi snobba? Avete un blog con WordPress in versione 2.3.3 o precedente? Allora siete già infetti, o state per diventarlo. Dalla scorsa settimana ad oggi almeno altri 5 blog italiani sono stati violati. Quelli che ho scoperto io, ma potrebbero essere molti di più.
Se arrivate qui condotti da una ricerca per “wordpress violato” o “wordpress compromesso”, basta leggere tutti gli articoli della categoria WordPress. Il link non lo metto, è qui a fianco nell’elenco delle categorie.
Essere colpiti o meno non è questione di popolarità o di “manico”: è solo fortuna. Ed essere colpiti è tutto meno che una vergogna.
Tant’è. Centinaia di e-mail spedite, il tempo impiegato per scriverle, per spiegare ad ogni vittima dell’intrusione dove guardare e come uscirne, col rischio di passare per un hacker cattivo, o un truffatore, e magari trovarmi anche una querela tra capo e collo. Il risultato? Ditemelo voi.
…forse era meglio non fare bilanci.
#1 da wolly il 23 June 2008 - 16:59
ti posso solo dire che nel forum di supporto di worpress-it si continua ad invitare ad aggironare che ha ancora “la mitica 2.3.3″ (così la definiscono in molti) ma spesso non ti rispondono o ti dicono che non possono aggiornare per qualche plugin assolutamente indispensabile.
Boh non so che dirti se npn che la mamma dei cretini è sempre incinta.
grazie mille del lavoro che hai fatto e che stai facendo, quasi quasi metto su un blog 2.3.3 me lo faccio crakkare da un amico hacker e poi ti mando io tecniche e dati
ciao
#2 da francesco il 23 June 2008 - 21:45
Io ho fatto il test e messo il link in del.icio.us! Eppero’ grazie non lo avevo detto ma solo pensato!
Ciao, f.
#3 da Mario Pascucci il 23 June 2008 - 22:07
@Wolly
Eh, ho visto sul forum. Deprimente, a dir poco.
Quasi quasi faccio un “downgrade” del mio blog e lo faccio diventare un honeypot
@Francesco
Il tuo commento è meglio di un grazie, come pure il tuo link su del.icio.us
#4 da Andrea M. il 24 June 2008 - 09:08
Gentilissimo Mario, gestisco un sito basato su piattaforma WordPress, che per pura “Pigrizia” non aggiornato a versioni più “sicure”. Ho letto con attenzione i tuoi articoli, e ti ringrazio per il lavoro svolto. Ho cercato di capire se il mio sito era stato infettato ma anche poco fa, il tuo test ha dato responso negativo (sospiro di sollievo); credo che finora non lo è stato per il semlice motivo che non è indicizzato dai motori di ricerca (istruzione no-index, nella testata), certo…prima o poi è cmq meglio aggiornarlo. Lo stesso test (la prima versione che ho usato, ora mi sembra diversa) aveva fallito nel rilevare una infezione di un sito che spesso consulto: mi ero accorto dell’infezione utilizzando “firefox & sage”….i post sul sito risultavano “iniettati” di diversi termini inerenti i farmaci, come da te descritto. Ho proveduto ad a scrivere agli amministratori indicando il tuo blog; hanno ringraziato me….ma ovviamente dovevano ringraziare te (e non so se lo hanno fatto).
Grazie ancora.
Andrea
#5 da Mario Pascucci il 24 June 2008 - 09:35
@Andrea
In effetti, la mancanza di indicizzazione nei motori di ricerca dovrebbe tenerti al sicuro, per un po’, ma è una vera eccezione: tutti *vogliono* essere trovati, soprattutto dai motori di ricerca, e quindi vengono trovati anche da chi cerca siti “vulnerabili”.
Per quanto riguarda il test, ovviamente questa è la quinta versione, e fra poco uscirà la sesta: man mano che vado avanti correggo piccoli errori e ne miglioro la sensibilità. Al momento però non ho altri campioni di siti compromessi per andare avanti, quindi lo sviluppo del test è fermo, mentre il codice malevolo è continuamente migliorato.
#6 da marco il 26 June 2008 - 08:52
Non per farmi i fatti tuoi, ma scusa … saranno almeno 10 anni che stai in rete ed ancora non ti sei accorto che gli italiani sono i peggiori _leechers_ dell’universo?
_Sad but true_ non c’è niente da fare, tu offri qualcosa e chi la usa lo fa ben in silenzio, manco fossero tutti degli imboscati ad un pranzo di nozze. Salvo poi, immancabilmente, cliccare come automi su quelle mail che offrono pillole blu dal Canada, perché loro _sono furbi_.
Non ti rammaricare, comunque hai fatto un eccellente lavoro. grazie.
#7 da Roberta aka enjob il 7 October 2008 - 14:21
Ma poi vergognarsi di cosa…io non finirei mai di dire grazie a chi gentilmente mi risolve un problema!!!