Ceci n'est pas un blog

Blog personale di Ivan Agliardi con pagine di informatica, linguaggi, idee…

Ripulire il codice di WordPress dopo un’intrusione che ha alterato i file PHP

Ripulire il codice di WordPress dopo un’intrusione che ha alterato i file PHP

Oggi uno dei miei dev preferiti 😉 mi ha chiamato con un problema classico: il sito WordPress di un suo cliente devastato da un’intrusione che ha preposto a tutti i file PHP una riga di codice malevolo, attivabile con il semplice passaggio di un valore via GET. In pratica tutti i file .php dell’intero sito – e in verità di tutti i siti condivisi (ahimè!) sotto lo stesso user –  presentavano una riga di codice evidentemente criptato ed eseguibile richiamando la stessa pagina con l’aggiunta di un parametro GET nell’url. Io qui la faccio anche troppo lunga perché si tratta di una situazione notissima a chi fa il nostro lavoro, ma vorrei essere utile per chi invece è alle prime armi.

Domanda: perché i vari malware detector installati su ogni buon server Linux non riconoscono e non rimuovono questa riga di codice?

Risposta: semplicemente perché è ben congegnata e non presenta le caratteristiche tipiche del codice malevolo. Agli “occhi” dello scanner sembra un normalissima porzione di codice PHP.

Grazie al cielo qualcuno ha pensato a questo scenario specifico ed ha elaborato uno script che rimuove la riga di codice in questione da ogni file in cui la rileva. Condivido qui lo script nella versione riveduta e corretta di EenvoudMedia (vedi il thread pubblicato su GitHub).

fonte: Hacked WordPress Cleanup Script

A proposito di Ivan Agliardi

Ho immaginazione e creatività, ma non sono un artista. Faccio interagire tra loro aziende dando vita a nuove imprese, ma non sono un imprenditore. Mi occupo da oltre 15 anni di server Linux, applicazioni web, database, domini, hosting, housing, sicurezza informatica e sistemi embedded, ma non sono un tecnico. Faccio SEO, SEM, SMM e fornisco contenuti attraverso i miei copyrighter, ma non sono un uomo marketing. Ora ho di nuovo un blog, ma non sono un blogger. Sono solo un umanista e un informatico della prima ora. E mi circondo di gente con le palle :)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ivan Agliardi

Ivan Agliardi