Buonasera a tutti, vi seguo ormai da tempo silenziosamente fino a questo momento, vi spiego cosa mi ? successo. Ho un'installazione VECCHIA di wordpress (versione 2.9x) che mi ? stata bucata. In qualsiasi pagina c'era uno script java che richiamava un'altro sito e creava in locale al visitatore 2 file vbs. Ora scende nel dettaglio fin qui non mi interessa. Ho aggiornato l'installazione di wp e dei suoi plugin ma ovviamente ho risolto ben poca cosa inquanto ho notato che OGNI file js del tema e dei plugin ed anche i file principali del tema (index.php ad esempio) erano stati infettati con un paio di righe. Nel caso dei file php con un ob_start() che eseguiva la decodifica di una stringa codificata in base64 (classico) e nel caso dei file js solita esecuzione di String.fromCharCode(). Ora la cosa interessante ? che il percorso in cui era installato wordpress non aveva privilegi di scrittura e ne sono certo tant'? che durante le operazioni non ho potuto fare il backup del db usando uno dei plugin a disposizione e l'ho fatto da console. Ormai ho sistemato tutto a manina bella e sembra essere ok, quello che vorrei capire per? ? come risalire a cosa sia successo. Cio? come hanno fatto ??? Ho tutti i log di apache2 relativi al virtualhost in oggetto ma non c'? alcuna traccia che corrisponda alla data ed all'ora della modifica dei file (ammenoche non sia stata falsata usando touch ad esempio) cosa posso/devo guardare ???? Consigli vari ??? grazie !!!
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
