Home Webmaster Malware in script wordpress dopo aggiornamento plugin: go.oclasrv.com

Malware in script wordpress dopo aggiornamento plugin: go.oclasrv.com

77
0

Codice malware nascosto in un plugin corrotto appena aggiornato, come eliminarlo

Può succedere, anche eseguendo l’aggiornamento di un plugin direttamente dal pannello di controllo di WP, che ci ritroviamo inconsapevolmente una riga di codice malevola installata subdolamente nello script. Niente è sicuro al 100% ma mai farsi prendere dal panico.  Generalmente chi inserisce questo codice nascosto lo fa con l’intenzione di guadagnarci, quindi una volta installato il plugin corrotto il sintomo principale che manifesterà il sito/blog è quello di veder comparire popups pubblicitari come spam, cliccando in un qualsiasi punto delle pagine in cui compare il codice, anche sulla barra laterale per lo scroll.

Da non confondere con un malware installato nelle estensioni del browser, nel caso in cui ci fossero dei dubbi, la prova numero uno da fare è aprire quella stessa pagina in cui si è verificata l’anomalia in un altro browser (se abbiamo usato inizialmente Chrome, possiamo usare Mozilla, IE, Opera, Maxthon…) e se la cosa si ripete è senza esclusione di dubbio un problema del sito.

Si può effettuare un controllo anche con siti di questo tipo: https://sitecheck.sucuri.net/ oppure http://scanner.pcrisk.com/

Per accertarsi definitivamente che si tratta di un pezzo di codice corrotto nello script, nella pagina in cui sono saltati fuori i popups pubblicitari si può visualizzare la sorgente del codice (in Chrome basta fare click destro in un punto qualsiasi della pagina e cliccare “Visualizza sorgente pagina”, negli altri browser il processo è molto simile), e cercare qualcosa come questo:
<script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
Il malware go.oclasrv.com è quello nello specifico che ha infettato questo blog ma non è il solo che circola.

Una volta capito di cosa si tratta bisogna scoprire dove si nasconde. Se abbiamo da poco aggiornato un plugin, la cosa più rapida da fare è controllare via FTP in “wp-content/plugins/” la cartella che riporta la data più recente che precede la manifestazione del problema. Se si tratta di un solo plugin aggiornato/installato da poco la soluzione è molto semplice, disattivandolo temporaneamente, basta eliminare tutta la cartella, scaricarlo poi da fonte più sicura e ricaricarlo sul server via FTP.

Se invece abbiamo sostituito il vecchio template con uno nuovo e i popups sono iniziati da quel momento, quello che si può fare è cancellarlo e tornare al vecchio. Dopodiché installare Wordfence Security – Firewall & Malware Scan che ci aiuterà a scannerizzare tutte le cartelle e i files del sito e cancellare eventuali files infetti ancora presenti.

Sempre importante e consigliato è tenere un backup pulito e aggiornato, almeno settimanalmente se l’host non provvede da sé automaticamente, di tutte le cartelle del sito/blog e del suo database Mysql, nel caso la situazione fosse così disastrosa da richiedere un’installazione ex novo non si rischia di perdere dati.

Lascia un commento se vuoi