27 December 2006
Bug, trojan e Wordpress
Da ieri quando visitavate Marketing Routes, molti di voi hanno probabilmente riscontrato degli alert relativi ad un trojan, chi grazie alla segnalazione di Norton Antivirus, chi grazie a Zone Alarm (come nel mio caso) chi ancora grazie ad un alert di Internet Explorer 7 (mentre la versione 6 non segnalava alcunchè). Ci tengo a spiegarvi di cosa si è trattato.
Come è intuibile non sono io che ho vezzi da hacker dell’ultima ora, ma un cogl*one di hacker che ha inserito un codice iframe (criptato) all’interno del main index template di Wordpress, sfruttando una vulnerabilità della piattaforma di blogging.
Il codice che questo genio ha inserito è:
che ‘tradotto’ richiama questa url: hxxp://xepxaxmxsu.biz/dl/adv647.php (la doppia x è voluta). Da tale pagine viene scaricato un trojan horse downloader.agent AL.
La versione di Wordpress che ha questo bug e che quindi consente (non so bene come) di inserire a proprio piacimento del codice è la 2.0.1. Se avete installata anche voi tale versione, vi consiglio caldamente un aggiornamento della piattaforma, da effettuare il prima possibile. Consigli anche di cambiare frequentemente la password del WP Admin per dormire sonni tranquilli. Mentre ero intento a capire dove si fosse annidato il problema, ho ovviamente aperto un ticket presso l’assistenza tecnica di Aruba, che però non è stata affatto utile o determinante nella soluzione. Anzi, come risposta ho ricevuto solo:
"Gentile cliente, da controlli effettuati lato server non si riscontrano virus sullo spazio web del domino. Il problema riscontrato è probabilmente dovuto a risorse esterne inserite negli script della pagine del dominio."
In sostanza quello che già gli avevo detto io. 
Perfetto, avevo visto anche io il trojan.
Tutto risolto
Deb
Comment by Deborah — 27 December 2006 @ 14:24