Blog Mit violato

Curiosando per la rete, cercavo quali fossero i blog famosi che usassero Wordpress e mi sono imbattuto in un blog del Mit : MIT Libraries News

Stavo quasi finendo di dire “interessante però questo b….” mentre facevo scorrere tutti i post, che subito dopo l’ultimo post, ho notato centinaia di link di spam presenti nel footer.

Posso affermare,quindi, con assoluta certezza ( visto che anche il blog del sottoscritto è stato violato qualche tempo fa…) che questo blog del Mit è stato violato e contribuisce ad aumentare le visite a siti di spam che vendono farmaci online.

Ovviamente ho contattato il webmaster ( ormai una ventina di giorni fa…) per informarlo del problema, che prontamente se n’è altamente sbattuto (visto che il blog è ancora pieno di link…).

Certo che è proprio il colmo che un blog del MIT (vabbè non tratta propriamente d’informatica…certo…ma ci sarà pure qualcuno che l’ha installato e lo gestisce, ed immagino appartenga sempre all’MIT…) si sia trasformato in una farmacia ambulante

Partiamo dalla spassossima barzelletta di Gigi Proietti (non devo mettere il link a Wikipedia, vero? Sappiamo tutti quale magnifico ed inimitabile attore e comico sia, neh? … ), per descrivere un problema che ho dovuto affrontare recentemente (anche per questo motivo non ho postato regolarmente…) e che, di divertente in realtà, ha ben poco…

Perché ho scelto proprio questa barzelletta? Ecco i due motivi principali:

1) Il titolo: “18, 18,18” è una delle parole chiave, insieme a “Google” che mi hanno fatto sospettare che qualcosa non andasse…Vedremo più avanti nel dettaglio…

2) Il finale della barzelletta, “Ecco un altro che non si fa mai i cazzi suoi” ed anche in questo caso e direi soprattutto nel mio caso, nessuna battuta fu mai più azzeccata….Maggiori dettagli più avanti in questo post….

Ecco l’antefatto: controllo abbastanza regolarmente le visite al mio blog ed un giorno noto un aumento delle visite del 1250 %.

( per proseguire fate clic su “Continue reading” )

Subito dopo lo stupore iniziale (sono rimasto senza parole ed immobile per un minuto buono ), mi chiedo ovviamente come mai fosse stato possibile tutto questo.

Vado quindi a controllare le parole chiave grazie alle quali si è verificato questo incremento e mi accorgo immediatamente che qualcosa non va e che questo aumento delle visite è decisamente sospetto: le parole chiave che hanno portato al mio blog sono essenzialmente due e precisamente “18” ( ecco perché il “18″ di Proietti ) e “google“, quindi parole troppo generiche per portare al mio blog.

Qualche tempo fa avevo letto di blog violati e precisamente sul blog di PensierInEccesso , quindi visto che frequento da qualche mese una mailing list di professionisti ed appassionati dell’analisi forense ( Cfitaly ), ho deciso di chiedere qualche consiglio a loro.

In breve ho ricevuto il validissimo aiuto da parte di Mario Pascucci, che ha confermato i miei sospetti: il mio blog Wordpress era stato violato. Mi ha consigliato di fare il test di contagio ( basta inserire l’indirizzo del blog che sopettate sia infetto ed il servizio analizzerà il codice del vostro blog alla ricerca degli hack più noti…) sul suo blog, ( che ovviamente ha confermato l’infezione…), le istruzioni per ripulire il blog ed i dettagli sull’intrusione

Perché un blog con Wordpress viene violato?

Semplicemente per incrementare le visite a blog/siti di spam, tramite un blog vulnerabile (quindi non aggiornato all’ultima versione esistente), inserendo  link e parole spam tramite codice offuscato.

Come suggerito sempre da Mario Pascucci, esiste anche un metodo ancora più immediato per scoprire se siete stati infettati (ciò non significa che si possa fare a meno di effettuare il test di contagio … ), inserite in google (o in qualsiasi altro motore di ricerca …):

“viagra site: indirizzo-sito-da-verificare”

“cialis site: indirizzo-sito-da-verificare”

ecc…

Con ecc, ovviamente intendo che potrete inserire qualsiasi parola comunemente usata nello spam…

Prendiamo come esempio questo blog, scrivendo in google:

“viagra site:sleipnir.altervista.org ”

ottengo il seguente risultato (tra gli altri…):

” Il riso fa buon…smartphone | Sleipnir
… ht ep citgo grease medical articles on viagra levaquin lawer what is naprosyn for tendon rupture from levaquin university of mississippi hoodia tramadol … ”

facendo clic sulla copia cache della pagina sopra, si vedranno i link di spam…

Come avviene il contagio?

I modi non sono sempre uguali. Nel mio caso erano presenti due record modificati in una tabella del database (contenenti codice php offuscato ) che creava -tra l’altro- un plugin abusivo, attivato da un file nascosto all’interno di una directory

Questa è solo una spiegazione a grandi linee, per informazioni più dettagliate vi rimando al blog di Mario:
http://www.ismprofessional.net/pascucci/

Per sapere i dettagli tecnici di come sia stato possibile effettuare l’analisi dei blog con Wordpress compromessi, tramite strumenti open source, vi rimando all’articolo di Mario su Cfitaly:

http://www.cfitaly.net/owned-wp-analysis

Per finire, ovviamente, un caro saluto all‘emerito stronzo iniettore dei blog, è doveroso (e qui mi ricollego al punto 2 dell’inizio di questo post: il finale della barzelletta di Proietti – “Ecco un altro che non si fa mai i cazzi suoi” – sottotitolo doveroso ogniqualvolta si nomini l’emerito stronzo iniettore dei blog ):

In culo all’iniettore…. con la speranza che lo bécchino e gli iniettino un pisello di TRex nello squaraus e cammini bocconi (non l’università neh ….anche se come contrappasso si potrebbe farglielo fare …) per l’evento (magari è pure pederasta e ci gode…)