>

Offensiva hacking: da ieri centinaia di blog infettati da un hack. La chiamata a quel “base64_decode” è un tentativo di redirect.

Caz­zo! Dis­se il con­te. Da ieri cen­ti­na­ia di blog stan­no com­bat­ten­do con­tro un’of­fen­si­va di hac­kers (pez­zi di mer­da) che si diver­to­no a sput­ta­na­re la strut­tu­ra dei per­ma­link.

Sog­get­ti all’at­tac­co tut­ti i blog su piat­ta­for­ma word­press, com­pre­se le ulti­me relea­se fino alla 2.8.4.

Il pri­mo sin­to­mo è una strin­ga che si vie­ne ad aggiun­ge­re a tut­ti i per­ma­link: “%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/”

Il risul­ta­to può esse­re un bel “Bed reque­st error”, con la con­se­guen­za che risul­ta impos­si­bi­le acce­de­re all’in­te­ro post in sin­gle page.

Il pro­ble­ma vie­ne gene­ra­to da una fal­la che con­sen­te all’at­tac­can­te di modi­fi­ca­re il file .htac­cess e gene­ra­re così il cam­bia­men­to del­la struttura.

Ma atten­zio­ne, per­chè la cosa non si fer­ma qui. Tut­ta la que­stio­ne vie­ne mes­sa in atto per poter depo­si­ta­re un uovo di pasqua nel­la root del blog, un .php con­te­nen­te codi­ce male­vo­lo ver­so cui il redi­rect di cui sopra ten­te­rà di indi­riz­za­re le chia­ma­te in sin­gle page.

Fin tan­to che si gene­ra l’er­ro­re di “Bad reque­st” si trat­ta solo di una noia e nul­la più; il peri­co­lo scat­ta quan­do il codi­ce gene­ra un redi­rect effi­ca­ce. In que­sto caso l’u­ten­te non si accor­ge di nul­la ma va di fat­to ad ese­gui­re il codi­ce male­vo­lo.

Cosa caz­zo ci gua­da­gna­no que­sti gran­dis­si­mi figli di put­ta­na da un’o­pe­ra­zio­ne del gene­re non lo so. So solo che ieri sono sta­to for­tu­na­to e sono riu­sci­to a risol­ve­re il pro­ble­ma pra­ti­ca­men­te subi­to.

Per toglie­re il redi­rect basta anda­re nel pan­nel­lo di ammi­ni­stra­zio­ne di Word­Press e rimet­te­re la spun­ta sul­la strut­tu­ra di per­ma­link abi­tua­le. Il pro­ble­ma però è che que­sto non impe­di­sce al bot che ha gene­ra­to l’hac­king di ripeterlo. 

Occor­re acce­de­re alla root via FTP e con­trol­la­re la pre­sen­za di file estra­nei. Io ho tro­va­to un file “li.php” data­to 1 Apri­le 2000 (pure spi­ri­to­si). Quan­do ho ten­ta­to di aprir­lo sono sta­to fer­ma­to al volo dal­l’an­ti­vi­rus che me l’ha segna­la­to come “trojan/backdoor”. L’ho eli­mi­na­to e, per il momen­to alme­no, la strut­tu­ra per­ma­link sem­bra ritor­na­ta sta­bi­le.

Mi scu­so quin­di in anti­ci­po per gli even­tua­li dis­ser­vi­zi di que­ste ore ma sto tenen­do sot­to con­trol­lo il blog per capi­re qua­le sia la fal­la sfrut­ta­ta.

Con­di­vi­di