Rootkit e WordPress
mercoledì 7 maggio 2008
(2 voti, media: 4,50)
Loading ...
Tutto comincia dall'immagine qua sopra. Stavo cercandomi su Google e mi è capitato di notare il blog di Overlord marchiato in modo indecoroso da Zio Google.
Ho subito mandato una mail a Matteo, segnalandogli la cosa. Lui l'aveva notata giorni fa, ma non sapeva dove mettere mano. Via MSN ci siamo scambiati qualche impressione... Nel frattempo grazie a Firebug e la scheda "Net" (che permette di visualizzare tutti i files che una pagina web scarica) abbiamo notato un download di un file JavaScript criptato proveniente dal dominio fhv5vif.com.
Una breve ricerca su Google ha permesso di individuare un rootkit abbastanza famoso (uno dei nomi: gromozon MBR rootkit/trojan sinowal), nascosto nel file index.php della root di WordPress. E' bastato seguire le semplici istruzioni trovate qui per risolvere il problema in maniera definitiva, sovrascrivendo i files di WordPress con nuovi files scaricati dal server "ufficiale".
Come si è infettato Matteo? Bella domanda: di solito questi script "bucano" versioni non aggiornate dei più comuni CMS, oppure passano direttamente attraverso falle dei server web, infettando tutti i siti web a cui riesce ad accedere.
"Mai più Gromozon" parlava qualche giorno fa di una vasta infezione presente sui server di Aruba ad esempio.
In caso di infezione del vostro pc invece, potete seguire questa guida per rimuovere il rootkit.
Piccolo approfondimento:
Firebug è stata "fondamentale" per capire cosa stava succedendo. In questa immagine è possibile vedere la scheda "Net" che permette di visualizzare la provenienza (insieme ad header, risposta del server, tempo di risposta, ecc...) di ogni singolo elemento caricato nella pagina.
Con Firebug è facile tenere tutto sotto controllo, basta ricordarsi che ogni tanto dare una controllata al proprio blog non fa male...
In alternativa puoi abbonarti alla newsletter, riceverai un'email ogni volta che verrà pubblicato un nuovo post. Il tuo indirizzo email sarà gestito da Feedburner.
7 maggio 2008 alle 09:15
molti siti ho notato che sono infetti, alcuni anche conosciuti.
7 maggio 2008 alle 09:52
Tutto giusto meno il nome del rootkit
Gromozon è un vecchio virus da cui ho preso spunto per scrivere il mio blog.
Il nuovo malware si chiama MBR rootkit/trojan sinowal.
Per rimuovero non serve il tool anti gromozon ma devi servirti di rootkit buster
prevxcsi , gmer o altri
7 maggio 2008 alle 10:29
Corretto tutto, grazie.
7 maggio 2008 alle 14:18
Ottima segnalazione
Era successo anche a me per il mio sitoweb
Dopo essermi impanicato per circa un’oretta ho inviato la segnalazione nel modulo indicato dal link in cui viene descritto come sito che potrebbe arrecare danno e mi hanno aggiornato lo status
7 maggio 2008 alle 21:15
[...] erano ospitati su Aruba.it. Il mio dubbio è divenuto certezza quando oggi ho letto il post di Napolux il quale si è trovato anche lui faccia a faccia con MBR rootkit/trojan sinowal su un blog in [...]
7 maggio 2008 alle 23:06
[...] di questa cosa ne ha parlato anche Napolux. Pubblicato da Paolo il 07/05/2008 alle 8:14 in Sicurezza e Wordpress. Tags: baco, bug, [...]
8 maggio 2008 alle 10:04
[...] Aggiornamento: Ho letto ora sul blog di Paolo Gatti che il problema riguardava l’host aruba e non wordpres… uff.. meno male mi sento più rilassato..ehehe comunque potete trovare maggiori informazioni anche qui: http://www.napolux.com/2008/05/07/gromozon-e-wordpress/ [...]
8 maggio 2008 alle 17:58
Per fortuna non ho avuto a che fare con tale problema, però oggi a apranzo un mio cliente mi ha chiesto proprio perchè alcuni siti che lui vedeva proposti da Google presentavano quella dicitura.
E anche questa è fatta!!
P.S. Per me Firebug è una enorma risorsa!