Parliamo di Digital Coach

HTML/Crypted.gen attacca WordPress e Joomla

Interessante spiegazione dell’attacco a imaginepaolo presa da http://www.settorezero.com/: Sta accadendo sempre più spesso ultimamente, che molti siti basati su WordPress e Joomla, vengono attaccati in qualche modo dal Trojan segnalato …

Interessante spiegazione dell’attacco a imaginepaolo presa da http://www.settorezero.com/:

Sta accadendo sempre più spesso ultimamente, che molti siti basati su WordPress e Joomla, vengono attaccati in qualche modo dal Trojan segnalato da Avira come “HTML/Crypted.gen“. Non sono riuscito a capire se si tratta di un problema relativo a bug esistenti in questi due sistemi di publishing (ma ne dubito) o piuttosto da un virus che ha attaccato i server che ospitano tali siti.

Quest’ultima ipotesi mi è stata avvalorata dal fatto che tutte le persone che ho contattato e che hanno avuto lo stesso problema, hanno tutti l’hosting presso lo stesso provider. Non muovo ancora accuse per ora perchè la cosa è alquanto anomala e in rete non ho trovato informazioni soddisfacenti per poter fare un’ipotesi valida, per cui le mie sono soltanto supposizioni e vanno prese come tali.

Nel frattempo spero che questo post possa essere d’aiuto e oggetto di discussione per capire da dove si origina il problema.

C’è innanzitutto da dire che il virus altera le pagine (ma non sempre tutte le pagine del sito) con estensioni html, php, asp e js, aggiungendovi un codice javascript criptato, che più o meno inizia in questo modo:

<script language="javascript">$a=\"Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}

Dico “più o meno” perchè non a tutti si presenta allo stesso modo, è facile comunque identificare il codice maligno perchè, come si vede, è in qualche modo offuscato: non si leggono parole chiave ma soltanto sequenze di caratteri apparentemente assurde.

Relativamente a wordpress, invece, il codice malevolo viene generalmente inserito in tutte le pagine “index.php” e inizia in questo modo:

1
<?php ob_start("security_update"); function security_update($buffer){return $buffer."<script language=\"javascript\">$a=\"Z64dZ3dZ22q|se|qdu]qwys^e}

Pare che lo script non crei danni e venga rilevato solo da Avira (chiedo conferme). Il problema si risolve eliminando lo script ritenuto dannoso dalle pagine, oppure ricaricando una copia sana delle pagine sul server.

Alcuni utenti, invece, dopo aver preso un virus, si ritrovano la copia del sito (o altre pagine web) salvate sul  proprio pc con tale problema: quindi l’attacco pare che sia “locale” e non remoto: le pagine sembrano essere attaccate sullo stesso pc in cui risiedono. Questo mi fa pensare sempre più che sia un problema di hosting: difatti in tantissimi hanno sul proprio pc una copia del sito non infetta, mentre sul server è invece presente questo script nelle pagine.

La soluzione per potersi tenere al riparo è avere sempre un backup aggiornato del proprio sito sul PC e ordinare il backup del sito web qualora non ne fossimo provvisti.

Riporto qui alcuni link utili (per lo più riguardanti wordpress) relativi al problema esposto:

http://codex.wordpress.org/FAQ_My_site_was_hacked

http://www.wordpress-it.it/forum/topic/12452

WordPress 2.8.5 ; Oltre 100 attacchi Hacker su Aruba

Crypted.genHTML

Ti serve aiuto? prenota una mia consulenza su Skype: www.imaginepaolo.com/consulenza


Puoi anche ascoltare questo post


Ti è piaciuto l'articolo?
Sì? Allora unisciti gratis alla mia cummunity IMAGINERS.


Ci sono 6 commenti.

  1. Prodi e i sogni dei migranti italiani in Spagna. “Malevoli”, nella rete

    […] MINACCIA BLANDA – Pare, in realtà, che sia una minaccia rilevata immediatamente quasi solo proprio da Avira (ed […]


  2. Mamma Imperfetta
    Commento di Mamma Imperfetta il 23 Gennaio 2010 alle 22:31

    Successo anche a me, due volte in 20 giorni. :-S


  3. Valentina
    Commento di Valentina il 9 Marzo 2010 alle 16:21

    io sto provando a cercare parte delle righe di codice che hai fornito tu, ma ancora niente. ho scaricato tutto il mio blog a parte la cartella public ed mdb-database.
    🙁


  4. VOL non sicuro?!... - Pagina 2 - Forum Vespaonline
    Pingback di VOL non sicuro?!... - Pagina 2 - Forum Vespaonline il 18 Marzo 2010 alle 20:22

    […] ciao ciao Turbo Prova a guardare sul forum di Joomla, altri hanno lo stesso problema. HTML/Crypted.gen attacca WordPress e Joomla | Web Design [RISOLTO + quesito] html/crypted.gen HTML/Crypted.gen attacca WordPress e Joomla | Settore […]


  5. Luigi
    Commento di Luigi il 20 Marzo 2010 alle 19:38

    Grazie mille!!!
    Ho risolto il problema eliminando lo script.
    Era in tutte le pagine nominate index, addirittura quelle index_1. index_old, copie di vecchie modifiche.

    Grazie ancora… ti debbo un favore 😛


  6. neuville
    Commento di neuville il 28 Luglio 2010 alle 23:38

    Ciao,
    successa stessa cosa anche a me, non è la prima volta su aruba (il provider), ma è successo 7 o 8 volte: inizio a pensare che si tratti di attacchi mirati per vendere il servizio di antivirus che è opzionale e a pagamento: ovvio che cambierò provider alla velocità della luce.

    i miei sospetti sono abbastanza fondati, anche per il fatto che dall’ultimo attacco ho limitato il numero di plugin attivati (tutti “certificati” e scaricati da wp.org) e mi sono costruito il template da solo… a questo punto, visto che il problema ha sempre e solo riguardato siti ospitati da aruba ho tutte le ragioni per dubitare… peccato il periodo estivo, ma se riesco nel weekend mi compro un altro hosting. se avete consigli sono ben accetti

    non credo si tratti di una vulnerabilità di wordpress, ho la versione 2.9.2 che è andata bene per un bel po’ ed è stabile (infatti non ho fatto upgrade alla 3 per paura di attacchi)


Lascia un commento

Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *