Svelato l’arcano mistero del Trojan nascosto, ovvero come trovare codice nocivo nei siti

Prima di iniziare a raccontarvi come ho fatto a risolvere il problema, facciamo un salto indietro nel tempo per capire di cosa stiano parlando.

Ieri, su segnalazione di Ago rimuovevo un gioco, inserito come di consueto ogni lunedì all’interno della sezione JonicaGames, pensando si trattasse di un iframe nocivo. Più tardi scopriremo che non era quello la causa dei miei ultimi 2 giorni di guai, persi a guardare righe e righe di codice, e sperimentando tecniche alternative per cercare di venirne a capo.

Da subito, grazie anche alla interessante “chattata” con Ago, all’interno della quale mi segnalava articolo su articolo possibili metodi di scansione, mi mettevo a lavoro cercando il codice dove in verità non c’era… Leggevo blog, forum, segnalazioni di sicurezza sul sito Microsoft, infine provavo scansioni online (la più funzionale si è rivelata LinkScanner Online, molto meglio di McAfee Site Advisor).

In mezzo a tanto cercare, gli unici due prodotti che segnalavano l’exploit erano LinkScanner Online e, su comunicazione di Ago, NOD32, installato in locale. Adesso c’era un problema, i due prodotti segnalavano il problema presente su JonicaBlog, ma non dicevano dove. Non mi restava che controllare le righe di codice nei files più sospetti, ma anche così niente… La giornata di ieri volgeva al termine.

Oggi, tornato da lavoro, brancolavo ancora nel buio, fino a quando non decido di utilizzare VMWare, presente sul mio iMac, installo la versione trial di NOD32 e lancio JonicaBlog su internet explorer. puntualmente l’antivirus segnala il trojan.

Inutile dilungarmi ancora, io ho risolto così, spero possa tornarvi utile in caso di problemi:

• Scaricate la versione trial di NOD32 o utilizzate il vostro antivirus con le definizioni aggiornate (consiglio NOD32, perchè si è rivelato il più proficuo nella ricerca di questo tipo di codici);
• Effettuate l’intero download in locale del vostro blog e scansionate la cartella con l’antivirus, molto probabilmente il programma metterà in quarantena i file infettati con il codice, quindi non li ritroverete nella stessa cartella;
• Controllate il file sospetto e cancellate lo script maligno, effettuate l’upload del file ripulito.

Dimenticavo di dirvi su quale script il codice nocivo si sia insediato, sfruttandone (forse) una vulnerabilità sconosciuta. Basta guardare lo screenshot per capire, il javascript era sullo “Stats Tracking Script” di MyBlogLog, proprio dove indicato dalla freccia.

Problemi loro o di Aruba che ha lasciato aperta qualche porta?

Se fossi in voi darei una controllata al proprio footer.php di WordPress, perchè è lì che si installa lo script per il tracking di MyBlogLog.