Blog e spam, siamo all’emergenza?
lunedì 30 giugno 2008
Vota!
Loading ...
Non è una bella immagine, eh?
Eppure il vostro WordPress potrebbe essere ridotto così se non costantemente aggiornato: potrebbe essere violato da "cattivoni", e voi non vi accorgereste di nulla.
O meglio, un modo c'è: questo test (qui le istruzioni), permette di capire se il blog (o il template) è stato "infettato" da spammer.
Se non vi fidate del test potete controllare la copia cache di Google per il vostro sito. Guardatene il sorgente (CTRL+U su Firefox, "Visualizza -> HTML" su Explorer) e controllate se sono presenti link strani.
I link inseriti sono visibili solo ai bot dei motori di ricerca, quindi difficilmente individuabili.
Come risolvere se il test linkato riscontra un'infezione? Per Alessia (che aveva ancora un WP 2.1.3) avevamo provato a fare questo:
- Backup di files e DB
- Verifica del database per controllare che i link non siano all'interno di post e/o commenti e per scongiurare la presenza di altre eventuali anomalie (in questo caso ho trovato un utente "strano" prontamente rimosso)
- Aggiornamento di WordPress all'ultima versione
Fatto questo tutto è tornato a posto, il test veniva passato in tranquillità: ma solo per 40 minuti. Avevamo cantato vittoria troppo presto (vedi post dell'altro giorno)
L'unica soluzione è stata piallare tutto. DB, blog, ecc... Esportando il contenuto del blog con la funzione export di wordpress. Già che c'eravamo abbiamo cambiato nome al db, tutte le password e chi più ne ha più ne metta...
Riguardando la cartella uploads del backup del blog ho trovato quello che forse è il vero "cavallo di troia" di attacchi del genere: si trattava di 3 files:
- 01_old.png
- 01.php.giff (sì, 2 effe)
- un "tiny_mce_qualchecosa" inserito in una cartella chiamata js_cache
I primi 2 contenevano codice PHP, mentre l'altro non l'ho nemmeno guardato. Preso e buttato via 
Adesso vediamo un po' come va. 
Se tutto rimane ok per qualche giorno direi che il pericolo è scampato.
Occhio quindi! Aggiornare il vostro blog è sempre più importante!
In alternativa puoi abbonarti alla newsletter, riceverai un'email ogni volta che verrà pubblicato un nuovo post. Il tuo indirizzo email sarà gestito da Feedburner.
30 giugno 2008 alle 17:15
ma “tiny_mce_qualchecosa” non è l’editor visuale per i post???
30 giugno 2008 alle 17:22
Sì… Ma a quanto pare sto “virus” (che virus poi non è) si camuffa anche da file con nomi “comuni e tranquillizzanti”…
Il file era nella cartella “uploads”, ho verificato su un paio di altri blog WP 2.5.1. e non lo avevano…
Quindi nel dubbio l’ho eliminato, il blog (editor visuale compreso) funziona comunque
30 giugno 2008 alle 20:39
ok ok datemi dell’eretico, ma uno grandi pregi di TypePad è proprio il filtro antispam… uno schiacciasassi e fa tutto da solo, anche se per qualche settimana (intorno a Pasqua) si è tramutato in un Torquemada del Web e qualsiasi commento/trackback veniva regolarmente messo nella cloaca digitale di SixApart. Poi però è passata
ciaps
anecòico
30 giugno 2008 alle 20:40
uno DEI grandi
sorry
30 giugno 2008 alle 23:41
[...] in clamoroso ritardo: il tecnico in quanto tale ha scritto un post profescìonal sulle tragiche avventure di questo blog… « napolux è un dio di [...]
1 luglio 2008 alle 11:27
Uhmm…. quel “tiny_mce_qualchecosa” inserito nella cartella js_cache in realtà è presente anche sul mio blog… non ho idea di cosa sia ma non credo si tratti di malware… ho anche fatto il test ma non mi pare ci sia nulla di sospetto
1 luglio 2008 alle 12:04
@Engelium
Se ti si ricrea allora è probabilmente qualcosa di “legato al blog”
Magari non è niente, cancellalo, tanto male non fa
1 luglio 2008 alle 20:35
Secondo il test i miei blog sembrano stare a posto… sperem!
4 luglio 2008 alle 00:14
[...] tal punto che senza neanche rompere le scatole in giro, prima alesstar (dalla quale son arrivato a napolux), e poi ancora francesco e giorgio, che segnalano e portano link utili e possibili soluzioni. => [...]
6 luglio 2008 alle 07:02
[...] Blog e spam, siamo all’emergenza? [...]
20 luglio 2008 alle 16:25
[...] quasi tutte le pagine del blog, dai risultati di ricerca, per un problema identico a quello che Napolux aveva descritto in un post settimane addietro. Spero vivamente di averlo risolto. Credo, e spero [...]