Wordpress: bello il tuo tema! E’ un trojan?

Nonostante tutte le precauzioni che si possono pensare per proteggere il proprio blog, è facile commettere un errore, installando qualcosa di dubbia provenienza e aprendo una porta a sconosciuti, dritto dentro il nostro sito.

Basta andare in cerca di un tema, ad esempio utilizzando un motore di ricerca, con le parole chiave “free wordpress themes”, e si ottengono parecchi risultati. Ma, per quanto strano possa sembrare, sono proprio i siti da cui occorre diffidare. Ho fatto una breve indagine, prendendo un tema a caso da ognuno dei siti restituiti dalla ricerca, ed ho appurato quanto segue:

Tutti i temi sono copiati da quelli originali presenti nel sito themes.wordpress.net o dal sito del creatore del tema, di solito indicato con un link nel file footer.php all’interno del tema stesso. Nessuno dei temi è originale.
Tutti i temi scaricati e controllati contengono codice per fare cose certamente poco etiche. Ci sono molti temi contenenti codice offuscato che dopo essere stato “disoffuscato” rivela istruzioni per scaricare ed eseguire codice preso da siti non appartenenti a nessun circuito “ufficiale” di Wordpress. In molti casi si tratta di siti cinesi. Altri temi contengono funzioni in PHP per inserire link spam nella home page del blog in cui vengono caricati. Notare che è una situazione molto diversa da quella dei siti Wordpress violati. Più avanti mostrerò alcuni esempi del codice malevolo.
I siti da cui si scaricano i temi sono ben fatti e graficamente molto curati, a differenza di molti altri siti contraffatti. Questo trae in inganno e svia i sospetti.

Esempi di codice malevolo

In un tema, denominato Dragee (il link porta al sito originale), vi era una funzione in PHP, sepolta nel file functions.php, che apparentemente chiama un link per una sorta di contatore per le statistiche di utilizzo, ma esaminando meglio il codice, inserisce il contenuto letto dal sito remoto nella homepage del blog in cui il tema è installato. Ecco un esempio del contenuto inserito:


<div id="refl" style="display: none">
<a href="http://www.pokerando.com" hreflang="it"><b>il casino</b></a>
</div>

In altri temi il contenuto del file footer.php è stato totalmente sostituito da uno script PHP costituito da una sola istruzione:


eval(gzinflate(base64_decode('NdNHkptYA ....... r6+fH99/M/zzGw==')));

E’ un codice offuscato, che in realtà scarica da un altro sito un blocco di dati e lo esegue come codice PHP.

Un altro tema contiene:


<body><?php @eval(@base64_decode('aWYoJFIzN0MwMT ....... Y3MzVBQkMzMDkxNik7')); ?>

Nel tema originale vi è solo il tag body. Anche questo codice, una volta reso in chiaro, scarica qualcosa da un sito remoto e la esegue come codice PHP.

Un altro tema contiene un segmento simile di codice PHP, il cui risultato consiste in una coppia di link a un casinò online ed a una finanziaria, niente di particolare. Il fatto curioso è che il codice è offuscato con oltre 20 annidamenti di codice convertito con differenti metodi, ossia un eval(base64_decode(... che restituisce a sua volta un eval(gzinflate(str_rot13(base64_decode(... che ancora restituisce un eval(base64_decode(..., e via così.

Effetti sul blog

Tutti i temi che ho analizzato possiedono codice in qualche modo malevolo. In tutti i casi è nascosto, mascherato, offuscato o ricodificato, per renderne meno facile l’individuazione.

L’effetto è variabile. In qualche caso si limita ad inserire pochi link, presi da un altro sito, verosimilmente gestito da chi ha manomesso il tema. In molti altri casi viene effettuato un controllo sulla configurazione dell’interprete PHP nel blog in cui il tema è installato, e se questa lo permette scaricano qualcosa da altri server e la eseguono come codice PHP tramite un eval().

Nessuno dei temi analizzati, presi dal sito dell’autore, ossia dal sito originale, mostra codice contraffatto o malevolo.

Conclusioni e avvertenze

Installando uno di questi temi con trojan incluso, invitiamo a casa il nemico. Un blog su cui uno di questi è installato potrebbe essere controllato a piacimento da chi ha inserito il codice malevolo nei file del tema.

Prima di installare un tema scaricato chissà dove, sarebbe il caso di farlo controllare da una persona competente. Non esistono al momento strumenti di controllo automatizzati per verificare la presenza di un trojan in un tema di Wordpress, come non esiste al momento uno strumento per controllare se il tema installato nel blog è colpito da questo problema: chi ha creato il trojan potrebbe aver già preso possesso del vostro blog ed aver nascosto le tracce della sua presenza.

Non esitate a cercare aiuto se non siete ferrati in materia: per la legge il blog è vostro e quello che ci appare dentro è sotto la vostra responsabilità, fino a prova contraria. Prova che non è affatto banale da trovare.

Se ti piace quello che scrivo registrati al feed RSS

6 Comments so far (Add 1 more)

il tema l’hanno ricopiato, l’idea almeno è originale

1. Gianni Amato on 14 Giugno 2008 at 00:47
hello,
I am the original author of the dragee theme.
I am sorry to not be able to understand italian, but do you say there is a crap in the functions and footer file?

if so, where did you download it?
if you compare the files to the ones offered of my page you will probably see a difference.

please keep me posted, I certainly do not want anyone abusing my work!

thanks,
jez

2. jez on 14 Giugno 2008 at 12:36
just checked the code myself on both wordpress and my own hosted files. the file date is someday in June 2007 and the contents are correct and no malicous code whatsoever, e.g. footer.php reads:

3. jez on 14 Giugno 2008 at 12:43
@Jez
Sorry for the misunderstand.

You aren’t responsible for the “trojaned” themes: someone has modified a copy of your theme and distributes it as “original”. As stated in the article, no one of the themes, taken from authors’ websites, shows any sign of malicious code.

Warn people about presence on the net of those “modified” themes.

4. Mario Pascucci on 14 Giugno 2008 at 14:21
Io nel footer del tema che ho scaricato (apparentemente è originale) c’è questo:

Provando ad eliminarlo la grafica viene del tutto sballata, ma dopo tutto quello che ho letto faccio fatica a fidarmi di un testo codificato…. sapresti dirmi se è una semplice precauzione per il copyright come dice prima, o se c’è davvero qualcosa di malevolo?

(per evitare che per un qualche misterioso motivo la pagina processi il codice ho aggiunto qua e là questi caratteri: [---])

5. Evanderiel on 25 Giugno 2008 at 00:51
Ehm… spero di non aver fatto un casino…. per quel poco che ne so di linguaggio PHP, anche solo cambiare una virgola rovina tutto, quindi spero che la pagina non sia riuscito a processare quello che avevo inserito… in ogni caso te l’ho mandato per e-mail in formato solo testo…

Perdonami tanto se non sono stato molto astuto…. del resto sono le 2 di notte….

6. Evanderiel on 25 Giugno 2008 at 01:07

One Trackback

By WGA, aka Wordpress Genuine Advantage | MVPNetwork Blog on 22 Luglio 2008 at 06:24

[...] spiega molto chiaramente Mario Pascucci in questo post. Se ne trovate, oppure se scorrendo “a occhio” i sorgenti trovate traccia di cose [...]