Avete dei dubbi sulla integrità fisica e sulla salute del vostro blog? Fate un test!
Mi spiego. Ho attrezzato una pagina PHP che effettua alcuni test automatici sul blog di cui viene fornito l’indirizzo completo. Il risultato è analizzato alla ricerca dei segni distintivi di questo tipo di intrusione: pagine differenti a seconda dello user agent, link contenenti i soliti farmaci venduti online ed altre stranezze. Al termine del test viene visualizzata una tabellina con i risultati.
Naturalmente, data la automaticità del test, il risultato è tutt’altro che certo, per cui occorre una verifica manuale in caso di segnalazione.
Cosa fa il test
- Tenta l’identificazione della piattaforma su cui si basa il sito, tramite un semplice fingerprinting: controlla se esiste una pagina di login, se nella home page esiste la parola “wordpress”. Se non trova questi segni caratteristici stampa un avviso ed esegue comunque il controllo. Ovviamente se si esegue il test su un sito non basato su Wordpress il risultato è privo di senso, o comunque non significativo.
- Legge più volte la pagina principale del sito. Una volta la legge presentandosi come spider di un noto motore di ricerca, poi la legge di nuovo presentandosi come un normale browser. Se le due pagine sono differenti, vengono fatti dei controlli sulle differenze, alla ricerca di parole tipiche dello spam, di link e di righe troppo lunghe.
- Altri controlli vengono fatti sulla pagina restituita nella visita come spider, contando le parole tipiche dello spam, cercando stringhe esadecimali lunghe e particolari tipi di stile CSS atti a nascondere contenuto. Questi controlli sono “euristici” e la presenza di queste anomalie non è indice di infezione certa, ma se ne sono presenti più di uno, ed in numero consistente, conviene fare un controllo.
- Viene infine controllata la presenza di due particolari elementi nella pagina, indicatori certi di infezione, una sorta di firma dell’intrusione. Se si verifica la presenza di questi, anche uno solo, si è in presenza degli effetti di una violazione del sito.
Cosa non fa
Il controllo vale solo per Wordpress installato su un sito dedicato, e solo per il tipo di intrusione documentato negli articoli elencati poco sotto. Non è un controllo antivirus, non è un rilevatore di intrusioni di qualsiasi tipo, né un controllo di integrità generico per Wordpress. Non è neanche un “tester di temi contraffatti”: è impossibile da realizzare a tema installato, il tema va controllato prima di installarlo, e da una persona competente. Tanto meno può ripulire o “disinfettare” un blog compromesso: questo può farlo solo il proprietario o il webmaster, e non sarebbe neanche tecnicamente possibile senza operare con i dati di accesso del webmaster.
Se il sito è molto personalizzato, il controllo può fallire in tutti i sensi, cioè segnalare come infetti siti puliti e viceversa. Può non riconoscere un sito basato su Wordpress, come può scambiare un sito costruito con altri software con Wordpress. In tutti questi casi i risultati sono da prendere molto con le molle.
Il controllo non esegue alcuna operazione critica o intrusiva sul sito: esegue le stesse operazioni di chiunque lo visiti con un normale browser, niente di più.
Nota bene
Per evitare abusi e scherzi idioti, ogni richiesta è loggata e sono inseriti alcuni controlli preventivi. Uomo avvisato…
Se volete altri dettagli, leggete gli articoli predenti elencati sotto, o contattatemi direttamente.
Gli articoli precedenti
Per chi vuole leggere tutta la storia, qui c’è l’elenco con tutti gli articoli che trattano dell’indagine sui blog violati:
- Wordpress + Pagerank + Spammer = PANIC!
- Attention: your Wordpress blog may be compromised. (in inglese)
- Spam con Wordpress: esempi di codice iniettato
- Spam con Wordpress: primi dettagli su un sito compromesso
- Spam con Wordpress: altri esempi di codice iniettato
- Spam con Wordpress: sempre più sofisticato
- Wordpress: perché non basta l’aggiornamento
Di seguito alcuni consigli per diminuire il rischio di essere colpiti, e cosa fare quando succede:
Se ti piace quello che scrivo registrati al feed RSS
BlogoSquare
One Comment
6 Trackbacks
[...] usate Word Press leggete qui e assicuratevi che il vostro blog sia [...]
[...] modo per capirci qualcosa comunque c’è: questo test (qui le istruzioni), permette di capire se il blog (o il template) è stato “infettato” da [...]
[...] Owned Wordpress Blog: test di contagio, che è anche il blog di Mario Pascucci, l’autore di WordPress autotest, è scritto in italiano e contiene altri link di approfondimento [...]
[...] meglio, un modo c’è: questo test (qui le istruzioni), permette di capire se il blog (o il template) è stato “infettato” da [...]
[...] Ecco la mail: Salve, mi sto occupando da tempo di un problema di sicurezza riguardante Wordpress. Il suo sito riporta i segni (non evidenti) dell’intrusione documentata qui:http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-ricapitolando/ Questo il test di controllo:http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-test-di-contagio/ [...]
[...] Ecco la mail: Salve, mi sto occupando da tempo di un problema di sicurezza riguardante Wordpress. Il suo sito riporta i segni (non evidenti) dell’intrusione documentata qui:http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-ricapitolando/ Questo il test di controllo:http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-blog-test-di-contagio/ [...]