Comments on: Owned WordPress blog: ricapitolando

By: Alberto

Alberto — Sun, 06 Dec 2009 08:14:24 +0000

Veramente un bell’articolo. Consiglio a tutti di leggerlo!

By: Owned Wordpress: tempesta finita? Questa sì. — Il non-blog di Mario Pascucci

Tue, 17 Mar 2009 04:13:53 +0000

[...] WordPress, non servono blocchi di codice nascosti nel database. E’ sufficiente operare solo la prima parte dell’intrusione per creare un amministratore nascosto, ed utilizzarlo per modificare a piacere i post già pubblicati. Il vantaggio è che non serve [...]

By: Calaminta Blog » Epidemia di spamming

Calaminta Blog » Epidemia di spamming — Fri, 01 Aug 2008 11:03:38 +0000

[...] per la blogosfera. Se non ne sapete nulla e utilizzate anche voi WordPress vi consiglio di leggere qui e fare il test di [...]

By: Comunicare in Rete » Come accorgersi se il tuo blog Ã¨ stato violato da uno spammer

Wed, 23 Jul 2008 15:27:49 +0000

[...] WordPress. Il suo sito riporta i segni (non evidenti) dell’intrusione documentata qui:http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-ricapitolando/ Questo il test di [...]

By: wolly il "sito malevolo con nuova versione 2.5"

wolly il "sito malevolo con nuova versione 2.5" — Tue, 22 Jul 2008 10:30:24 +0000

[...] in effetti nel tuo blog ci sono molti link a siti che vendono pilloline blu e affini. Probabilmente era già infetto prima dell’upgrade. comincia a leggere da qui: http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-ricapitolando/ [...]

By: Comunicare in Rete » Come accorgersi se il tuo blog è stato violato da uno spammer

Mon, 21 Jul 2008 16:47:43 +0000

By: Mario Pascucci

Mario Pascucci — Wed, 02 Jul 2008 15:31:41 +0000

@Andi
Credo di averlo già documentato qui:
http://www.ismprofessional.net/pascucci/index.php/2008/04/wordpress-pagerank-spammer-panic/
Infatti il test si basa anche su quello, ma non solo.
La visualizzazione fatta col sito botsvsbrowsers.com NON mostra i link nascosti anche se ci sono, perché viene correttamente interpretato il misto di codice HTML/CSS/Javascript utilizzato per nascondere i link. Il mio test invece scarica solo la pagina principale e la tratta come un testo in cui cercare strutture chiave tipiche dell’intrusione. Per vedere i link dal browser occorre o disabilitare Javascript o visualizzare ignorando il foglio di stile CSS.

By: Andi

Andi — Wed, 02 Jul 2008 13:38:42 +0000

Ciao, ho avuto modo di constatare su un blog infetto che per distinguere le visite normali da quelle dello spider di Google il codice malevolo controlla lo User Agent e non l’indirizzo ip di provenienza.

Un sistema assolutamente superficiale ma sicuramente semplice da compiere potrebbe essere quello di visitare il proprio sito utilizzando un servizio come quello offerto da botsvsbrowsers.com. Il sistema consiste nel visitare il proprio sito simulando l’user agent del Boot di Google, in questo modo ad una prima verifica visuale si dovrebbero vedere i link inseriti dal mentecatto, solitamente situati nel footer.

Ho visto che il tuo test effettua già dei controlli simulando l’user agent dei motori di ricerca, quindi se vogliamo questo è un sistema sicuramente meno accurato che però da la possibilità di vedere con i propri occhi cosa vedono i motori di ricerca.

Ciao!

Andi.