In questi ultimi giorni oltre 100 piattaforme, tra cui anche l’ultima versione di Wordpress la 2.8.5, ospitate su server Aruba (Windows e Linux) sono state attaccate con del codice maligno. Possiamo facilmente accorgerci se anche il nostro blog è stato attaccato verificando se nel file “index.php” è presente del codice simile al seguente:
<?php ob_start("security_update"); function security_update($buffer){return $buffer."<script language=\"javascript\">
Fortunatamente esiste una soluzione all’attacco spiegata di seguito nel dettaglio.
- Accediamo al nostro spazio ftp e recuperiamo il file index.php all’interno del quale possiamo individuare questa strana seguenza di codice:
- Cancelliamo quindi dal file tutto il codice indesiderato la cui fine è facilmente riconoscibile dalla seguente stringa: //important security update ?>.
- Controlliamo la presenza di ulteriore codice indesiderato all’interno dei seguenti file
- wp-content/index.php
- wp-admin/index.php
- wp-content/themes/index.php
- wp-admin/index-extra.php
- wp-includes/default-filters.php
- wp-includes/default-widgets.php
- Infine eliminiamo il file wordpress/mailceck.php aggiunto in seguito all’attacco.
Nota: Se non li abbiamo modificati di recente, possiamo anche controllare la data di mofica del file per verificare velocemente se è stato aggiunto del codice indesiderato o meno senza perdere tempo ad esaminare il sorgente.
Se il nostro sito ha subito un attacco di questo tipo, si consiglia inoltre di cambiare la password del nostro spazio FTP e del pannello di amministrazione di Wordpress, di controllare che non vi siano persone indesiderate nella sezione “Autori e Utenti” e di reinstallare nuovamente tutti i file principali della piattaforma su cui gira il nostro blog.
ma lo sannno i responsabili di Aruba di questi attacchi
e perchè avvengono ?
se ho la versione 2.8.4 ?
Gli attacchi avvengono indipendentemente dalla versione di wordpress installata. Gli attacchi stanno colpendo più in generale la maggior parte delle piattaforme di blogging ospitate sui server aruba! Il problema sembra risiedere infatti sul metodo di autenticazione ftp che si porta probabilmente dietro qualche permesso di troppo su determinati file!
anche joomla è colpito?
e come fanno a modificare dei files senza avere la mia password del ftp?
Premesso che una protezione sicura al 100% da parte di hackers è impossibile, è comunque consigliabilile prendere delle precauzioni preventive. Allo scopo vorrei segnalare un sito http://www.ipsafer.com, i cui autori hanno cercato di risolvere il problema in modo originale. Questo sito fornisce infatti un interessante servizio, GRATUITO per la maggior parte dei siti essendo le limitazioni poste abbastanza ampie (1000 verifiche al giorno per ciascun server da proteggere), che consiste nell'avere una segnalazione di pericolosità in base allo IP. In altre parole prima di dare accesso ad una richiesta può essere verificato se l'IP richiedente è tra quelli da bannare. Il DB che viene consultato è in continuo aggiornamento con aggiunta di nuovi indirizzi non buoni, man mano che il sito li individua.
Da sottolineare che è possibile fare il download delle patch per i software open source più diffusi: Joomla 1.5.x, Wordpress 2.9.1 e CMS Made Simple 1.6.6. Per altri consigli è presente un FORUM.