Il test non è più disponibile dal 17 giugno 2009
Segue il vecchio articolo
Avete dei dubbi sulla integrità fisica e sulla salute del vostro blog? Fate un test!
Mi spiego. Ho attrezzato una pagina PHP che effettua alcuni test automatici sul blog di cui viene fornito l’indirizzo completo. Il risultato è analizzato alla ricerca dei segni distintivi di questo tipo di intrusione: pagine differenti a seconda dello user agent, link contenenti i soliti farmaci venduti online ed altre stranezze. Al termine del test viene visualizzata una tabellina con i risultati.
Naturalmente, data la automaticità del test, il risultato è tutt’altro che certo, per cui occorre una verifica manuale in caso di segnalazione.
Cosa fa il test
- Tenta l’identificazione della piattaforma su cui si basa il sito, tramite un semplice fingerprinting: controlla se esiste una pagina di login, se nella home page esiste la parola “wordpress”. Se non trova questi segni caratteristici stampa un avviso ed esegue comunque il controllo. Ovviamente se si esegue il test su un sito non basato su Wordpress il risultato è privo di senso, o comunque non significativo.
- Legge più volte la pagina principale del sito. Una volta la legge presentandosi come spider di un noto motore di ricerca, poi la legge di nuovo presentandosi come un normale browser. Se le due pagine sono differenti, vengono fatti dei controlli sulle differenze, alla ricerca di parole tipiche dello spam, di link e di righe troppo lunghe.
- Altri controlli vengono fatti sulla pagina restituita nella visita come spider, contando le parole tipiche dello spam, cercando stringhe esadecimali lunghe e particolari tipi di stile CSS atti a nascondere contenuto. Questi controlli sono “euristici” e la presenza di queste anomalie non è indice di infezione certa, ma se ne sono presenti più di uno, ed in numero consistente, conviene fare un controllo.
- Viene infine controllata la presenza di due particolari elementi nella pagina, indicatori certi di infezione, una sorta di firma dell’intrusione. Se si verifica la presenza di questi, anche uno solo, si è in presenza degli effetti di una violazione del sito.
Cosa non fa
Il controllo vale solo per Wordpress installato su un sito dedicato, e solo per il tipo di intrusione documentato negli articoli elencati poco sotto. Non è un controllo antivirus, non è un rilevatore di intrusioni di qualsiasi tipo, né un controllo di integrità generico per Wordpress. Non è neanche un “tester di temi contraffatti”: è impossibile da realizzare a tema installato, il tema va controllato prima di installarlo, e da una persona competente. Tanto meno può ripulire o “disinfettare” un blog compromesso: questo può farlo solo il proprietario o il webmaster, e non sarebbe neanche tecnicamente possibile senza operare con i dati di accesso del webmaster.
Se il sito è molto personalizzato, il controllo può fallire in tutti i sensi, cioè segnalare come infetti siti puliti e viceversa. Può non riconoscere un sito basato su Wordpress, come può scambiare un sito costruito con altri software con Wordpress. In tutti questi casi i risultati sono da prendere molto con le molle.
Il controllo non esegue alcuna operazione critica o intrusiva sul sito: esegue le stesse operazioni di chiunque lo visiti con un normale browser, niente di più.
Nota bene
Per evitare abusi e scherzi idioti, ogni richiesta è loggata e sono inseriti alcuni controlli preventivi. Uomo avvisato…
Se volete altri dettagli, leggete gli articoli predenti elencati sotto, o contattatemi direttamente.
Gli articoli precedenti
Per chi vuole leggere tutta la storia, qui c’è l’elenco con tutti gli articoli che trattano dell’indagine sui blog violati:
- Wordpress + Pagerank + Spammer = PANIC!
- Attention: your Wordpress blog may be compromised. (in inglese)
- Spam con Wordpress: esempi di codice iniettato
- Spam con Wordpress: primi dettagli su un sito compromesso
- Spam con Wordpress: altri esempi di codice iniettato
- Spam con Wordpress: sempre più sofisticato
- Wordpress: perché non basta l’aggiornamento
Di seguito alcuni consigli per diminuire il rischio di essere colpiti, e cosa fare quando succede:
Pingback: Porca Pupazza ventottodicembreduemilatre
Pingback: Minchia, se è stronzo… | Napolux.com
Pingback: Come scoprire se il tuo blog è infetto » Studio404 Web Agency
Pingback: Blog e spam, siamo all’emergenza? | Napolux.com
Pingback: Il GiardinodelleIdee » Come accorgersi se il tuo blog è stato violato da uno spammer
Pingback: Comunicare in Rete » Come accorgersi se il tuo blog è stato violato da uno spammer
#1 da Kya il 28 July 2008 - 14:05
Grazie mille per l’utilissima risorsa Mario. Mi sono accorta da poco di avere un blog infetto, ho sostituito il tema ed ora per maggiore sicurezza ho utilizzato anche il tuo test per la prova del nove. Tutto perfetto, grazie, lo segnalerò anche nel mio forum.
[OT] “Sto lavorando sodo per preparare il mio prossimo errore” è straordinario.
#2 da Massimiliano Navacchia il 13 October 2008 - 16:55
Molto interessante sia lo strumento che tutto il sito.
Ciao
#3 da gioby il 9 January 2009 - 11:12
Meno male, il mio sembra essere salvo!!
(o almeno, se e’ stato compromesso, e’ in mano a qualcuno che ci sa fare).
#4 da Federica il 20 January 2009 - 10:22
Il mio è risultato infetto! Ma come faccio a ripulirlo? Sono disperata
Pingback: Wordpress Autotest: effetti collaterali imprevisti — Il non-blog di Mario Pascucci
#5 da Domande il 7 April 2009 - 13:45
Molto Utile!
Complimenti