Tre giorni vissuti pericolosamente: ovvero come ho eradicato il trojan dal mio blog (e una richiesta)

La risposta esatta sarebbe: con l’aiuto di tanti amici.

Tutto ha inizio domenica scorsa, quando l’aggregatore di news tecnologiche Technotizie.it mi fa presente che al loro antivirus (Kaspersky) ridultava che nel mio sito ci fosse un cavallo di troia (o trojan).
Io cado dalle nuvole: il mio nuovo Sony Vaio con caricato McAfee non mi dice nulla, ma per scrupolo faccio un giro nel mio blog con FTP per vedere se ci fosse qualche codice malevolo.
Niente, o meglio non riesco a trovare niente.

Lunedì esce il mio post su Twit Radar, che viene diffuso su Friend Feed.
Qui altri amici – Andrea, Luigi, Giorgio – mi segnalano che anche il loro antivirus (Avast) dice che il mio permalink è un trojan.
Dato che il mio post embeddava codice javascript, mi vado a riguardare il sorgente del medesimo.
Niente da fare, non trovo nulla.

Oggi, martedì, esce un secondo post su un progetto di visualizzazione tridimensionale di Guernica di Picasso.
Un gentilissimo Francesco mi avvisa della presenza di un trojan sul mio blog.
Faccio un ragionamento semplice semplice: lunedì segnalazione del problema, martedi segnalazione del problema.
Il cavallo di troia non sta nei post, sta nei file principali del blog.
La cosa mi viene confermata dal fatto che dando un’occhiata al codice sorgente di tecnoetica, anche su consiglio di Francesco, si vede una strana stringa posizionata dopo un tag HTML di chiusura posizionato nel footer (o almeno quello che io credevo essere un footer) del blog.
A questo punto un rapido scambio di email con Francesco e recuperando un post di Dren di qualche tempo fa e archiviato dentro Delicious, metto in piedi una procedura che sembra funzionare.

La procedura che ho eseguito è la seguente:

1. Ricerca del codice malevolo
Su consiglio di Dren, faccio uno scanning del mio blog con Unmask Parasites alla ricerca di quale fosse il codice malevolo.
Rapidamente trovo il lunghissimo javascript che viene “visto” dallo scanning di Unmask come strano, poichè posizionato dopo un tag HTML di chiusura.

2. Backup in locale del blog
Con l’aiuto di Filezilla scarico in locale Tecnoetica, verificando che siano presenti tutti i file del blog, escluso la copia di backup fatta dall’hosting.

3. Installazione di un software di ricerca di porzioni di testo
Usando PHP Editor (voi invece che editor usate?) comincio a guardare i file che immagino possano essere sospetti – di sistema e del template – ma non riesco a trovare il javascript.
Su consiglio di Francesco, scarico e installo Text Crawler, facendogli fare il lavoro al post mio (e mooooolto più velocemente).
In pochi secondi trova che il lunghissimo codice javascript si trova nel file index.php

4. Correzione e sovrascrittura del file
Apro il file incriminato, cancello il codice maligno e lo rimetto a posto.
Tecnoetica sembra funzionare bene, sensazione confermata da una serie di amici (e amiche) su FrienFeed.

Morale della favola: devo migliorare la sicurezza del mio blog, e qui sta la richiesta:

C’è qualcuno fra i lettori di tecnoetica che se la sente – a una cifra poco più che simbolica – a darmi una mano a fare un upgrade del mio blog??
Se si, parliamone: scrivetemi su
[email protected]

5 thoughts on “Tre giorni vissuti pericolosamente: ovvero come ho eradicato il trojan dal mio blog (e una richiesta)

  1. Un unico appunto: tolga McAfee e metta Avira Antivir. 😉

    Per l’upgrade, sono un bravo smanettone, ma non so se riuscirei ad imbastire un sistema di sicurezza valido. Mi consulto con il mio maestro e le faccio sapere. ^_^

    Saluti!

  2. Pingback: Technotizie.it
  3. Non sono un lettore abituale… anzi è la prima volta che arrivo qui, però se ho letto bene il codice di questa pagina stai usando ancora WordPress 1.5.2…

    WordPress già di suo sta avendo diversi problemi di sicurezza, le versioni più vecchie poi sono ad alto rischio. Per cui la prima cosa che dovresti fare è installare l’ultima versione
    http://www.wordpress-it.it/wordpress-in-italiano/

    Ti consiglio anche questa lettura:
    http://www.ismprofessional.net/pascucci/index.php/2008/06/owned-wordpress-the-day-after/

    Ciao

Leave a Reply

Your email address will not be published. Required fields are marked *