Snapshot per wordpress: rimozione di counter.wordpress.com

(0 commenti) | Commenta | Inserito il set 3, 2011 in Blog, Informatica e Web

Riallacciandomi all’articolo precedentemente pubblicato – Come rimuovere un malware su wordpress – counter.wordpress.com -, che riporta una guida per risolvere la minaccia, pubblico ora una serie di snapshot (immagini) per capire meglio come ripulire il proprio sito o blog dalla minaccia generata da counter.wordpress.com che in questo ultimo periodo ha interessato parecchi utilizzatori del CMS wordpress.

Gli snapshot sono stati realizzati e messi a disposizione da www.bonaventuradibello.com, che ringrazio e spero sia la prima di una lunga serie di collaborazioni…

Le immagini sono riportate come anteprima, per visualizzarle meglio basta cliccarci su e ingrandirle a grandezza naturale.

1. Controllo delle dimensioni e dell’ultima modifica del file wp-config.php

2. Presenza nel file wp-config.php di questo codice maligno e sua rimozione

3. Presenza nelle cartella /wp-admin e /wp-content del file udp.php

4. Rimozione dei file di cache e dei file temporanei

Scritto da Mac La Mente

Tags : , , , ,

 

Come rimuovere un malware su wordpress – counter.wordpress.com

(12 commenti) | Commenta | Inserito il ago 28, 2011 in Blog, Informatica e Web

Scrivo questa breve guida con la speranza che possa essere utile e servire a tutti coloro che in questi giorni han dovuto ripristinare il proprio sito fatto in wordpress a seguito di una infezione (malware) che ha corrotto i file e i temi utilizzati.

Gli hacker sono molto attivi in questi giorni e stanno sfruttando una vulnerabilità presente non solo in alcuni plugin ma anche nei temi che utilizzano il famoso script in php TimThumb per la gestione delle immagini e delle anteprime delle immagini.

Lo script in questione è stato compromesso ed è consigliabile aggiornarlo il prima possibile all’ultima versione o eliminarlo dal proprio sito aggiornando di conseguenza il tema all’ultima versione disponibile.

Lo script è messo a disposizione da Google ed è possibile copiarlo a questo link: Codice di TimThumb.php.

Oltre a dover aggiornare questo file, il pacchetto wordpress può essere stato compromesso in un altro modo. Gli hacker sono riusciti infatti, dopo aver rubato le password di accesso FTP, ad installare dei file chiamati upd.php all’interno di diverse cartelle che compongono wordpress (in particolare in /wp-admin e /wp-content) e hanno anche modificato il file di configurazione wp-config.php.

Non tutti i browser sono capaci di rilevare questa minaccia, il primo è stato Google che prontamente ha inserito il sito nella lista nera.
Ma come uscire e sventare questa minaccia?
Qui di seguito riporto le operazioni che, ahimè, ho dovuto fare per ripristinare il blog di libera-mente.net

1. Controllare il file wp-config.php. Questo file deve contenere un numero di righe non molto alto, intorno alle 92 linee e terminare con la seguente riga di codice: require_once(ABSPATH . ‘wp-settings.php’);

Tutto quello che viene dopo va cancellato! O meglio ancora se si modifica un file wp-config.php pulito con i propri dati e si ricarica questo sul server.

2. Ricercare nel pacchetto wordpress i file upd.php e rimuoverli.
3. Cancellare i file temporanei se si utilizza un plugin di cache.
4. Controllare tutti i file .js e cancellare la stringa: x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\

Meglio ancora se si caricano file nuovi per gli script.

5. Controllare il file index.php. Cancellare tutto quello che è tra require(‘./wp-blog-header.php’); e ?>

6. Cambiare le password di accesso di admin e quelle di accesso all’FTP e al server modificando ulteriormente il contenuto di wp-config.php nella riga define(‘DB_PASSWORD’, ‘tua password’);

A questo punto la minaccia è stata rimossa, per avere una conferma è possibile utilizzare un servizio di scansione on-line per siti web: http://sitecheck.sucuri.net/scanner/

Se questi passaggi non dovessero funzionare è consigliabile fare una copia di backup del proprio sito e reinstallare wordpress con tutti i file nuovi! Questo lavoro è un po’ più lungo ma assicura la soluzione definitiva al problema.

Per dubbi, domande e altro…sono qui! :)

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Rimuovere il virus Pacex.gen

(0 commenti) | Commenta | Inserito il ott 17, 2008 in Blog, Informatica e Web

Dopo aver parlato più o meno approfonditamente di virus, worm e trojan – all’interno di questo articolo – è arrivato il momento di citare un’esperienza diretta, un contatto che tempo fa ho avuto con un altro genere di infezione, con un malware chiamato Win32.Pacex.gen o semplicemente Pacex.gen. Ricordo che Win32 è un suffisso utilizzato per definire un insieme di interfacce presenti all’interno di un sistema operativo che utilizza 32 bit per far riferimento agli indirizzi fisici in memoria, altri suffissi, a seconda della struttura dell’interfaccia sono Win16, Win64, ad esempio.

Un malware è un’altra evoluzione dei virus considerati classici. E’ un programma a se stante creato con il solo scopo di generare problemi più o meno seri alla macchina con cui viene a contatto. Il codice che costituisce il corpo del malware è da considerarsi sempre e in qualunque caso maligno.

Nel caso specifico, Win32.Pacex.gen è un malware che risiede in memoria e questa sua caratteristica lo rende ancor più pericoloso rispetto agli altri perchè la memoria è quella parte di un pc non facilmente accessibile a tutti; operazioni su di essa, se sbagliate, possono provocare danni gravi e compromettere il funzionamento del computer, danni risolvibili solo tramite formattazione.

Pacex.gen è stato creato nell’aprile 2007 e mi ha colpito subito, non ho ancora capito come. L’infezione ha reso il pc incapace di collegarsi ad internet, bloccando la connessione dopo un breve intervallo di tempo, non più di cinque minuti, ogni volta che tentavo di accedere alla rete.
Questa è solo una dei tanti aspetti con cui può manifestarsi questo virus. Esso infatti ha effetti diversi a seconda delle macchine che colpisce perchè nel tempo è capace di evolversi in altre forme.

Per fortuna la rimozione non è stata difficile. Grazie all’utilizzo di programmi che in automatico riescono ad eseguire una scansione della memoria – programmi come Spybot, RegCleaner e Cclenear (ormai considerati parte essenziale di ogni pc, è consigliabile procurarseli il prima possibile), che leggono le informazioni presenti nel registro del sistema ed evidenziano i file modificati non corrispondenti alle impostazioni originali della macchina – è stato possibile cancellare le chiavi infette e poi recuperarle inserendo il cd originale del sistema operativo.

In conclusione, il malware Pacex.gen viene rimosso dopo una serie di scansioni con programmi specifici che leggono quelle informazioni di non facile accesso memorizzate all’interno del pc.

Qui di seguito segnalo i programmi utilizzati per la rimozione:

1 – Spybot – search & destroy è prelevabile dal sito ufficiale a questo link, la versione al momento della stesura di questo articolo è la 1.6.0. Richiede un aggiornamento della banca dati sulle infezioni.
2 – Reg Cleaner è prelevabile da questo link, l’ultima versione è la 4.2.0. Non richiede successivi aggiornamenti.
3 – Ccleaner è prelevabile dal sito ufficiale a questo link. L’attuale versione è la 2.12.660. Non richiede aggiornamenti se non alla versione successiva.

Di Pacex.gen e altri virus parliamo sul forum nel topic Virus, la piaga di internet.

Scritto da Mac La Mente

Tags : , , , ,