Un aiuto concreto per chi aiuta
Una delle cose più belle del lavorare in un’azienda come Kokishin, attenta al territorio e sensibile al contesto in cui opera, è la possibilità, ogni tanto, di mettere le proprie competenze al servizio di chi ne ha davvero bisogno.
La scorsa settimana ci è capitato proprio questo: ci siamo offerti volontari per supportare La Mongolfiera Onlus, un’associazione benefica colpita da un attacco informatico.
Il sito dell’associazione era stato messo offline direttamente dal provider di hosting, a causa di una compromissione sul server che ospitava l’istanza WordPress.
L’analisi: un attacco silenzioso
Durante le attività di incident response, abbiamo scoperto numerosi file malevoli nascosti tra i plugin e i file di sistema di WordPress. L’obiettivo era chiaro: mantenere un accesso persistente al server e sfruttarlo per scopi dannosi, senza farsi notare dagli amministratori.
Uno degli script più insidiosi era “wp-vedrc.php”, annidato tra i plugin. Il file era fortemente offuscato e utilizzava crittografia (openssl_decrypt) per nascondere il suo reale comportamento. Una volta attivato, generava altri file con nomi casuali che permettevano l’esecuzione remota di codice, agendo di fatto come una backdoor.
Abbiamo poi individuato un plugin compromesso (bb2), apparentemente innocuo grazie a un header che lo faceva sembrare legittimo. In realtà, collaborava con un altro file (bb.php) per garantire accesso non autorizzato al server.
Altri script, come index.php, erano programmati per attivarsi solo se richiamati tramite uno specifico cookie, eseguendo codice e poi autodistruggendosi, rendendo l’identificazione molto difficile.
Il file più pericoloso era “wp-cache.php”, integrato tramite un include nel file wp-load.php. Questo script interagiva direttamente con il database SQL, creando tabelle personalizzate per raccogliere URL visitati, credenziali admin e dati statistici. Era anche in grado di distinguere utenti reali da bot per distribuire contenuti dannosi o reindirizzare utenti ignari a siti malevoli. Un vero e proprio attacco di tipo defacing che sfrutta il database piuttosto che modificare il front-end.
Le cause e le lezioni apprese
La compromissione potrebbe essere avvenuta tramite credenziali FTP deboli, ma l’assenza di specifici log ci impedisce di confermarlo. Inoltre, la presenza di plugin e temi non aggiornati lascia spazio all’ipotesi di vulnerabilità sfruttate da componenti obsoleti. Questa esperienza ci ricorda quanto sia cruciale:
- Mantenere aggiornati plugin e temi WordPress
- Utilizzare credenziali forti
- Monitorare regolarmente il sito alla ricerca di anomalie
- Adottare strumenti di protezione come WordFence, WAF o, dove possibile, valutare la staticizzazione del sito.
Siti che non richiedono interazione dinamica possono infatti beneficiare enormemente della staticizzazione: superficie d’attacco ridotta, performance migliorate, manutenzione semplificata.
In conclusione
Non è stato solo un intervento tecnico, ma anche un gesto di supporto etico. E per noi, poter contribuire in questo modo al lavoro di una realtà come La Mongolfiera Onlus, è un promemoria potente del perché facciamo questo lavoro.
—
Pietro Ghedini
