Aumentano le visite ed aumentano nel contempo le probabilità di essere infettato da qualche malaware e questa volta è toccato al mio sito.
In passato ho risolto il problema per amici e clienti ed oggi è toccato a me.
Ringrazio tutti i lettori che mi hanno prontamente avvertito della presenza di un codice malaware su queste pagine.
Già in passato alcuni mi avevano segnalato che i loro programmi antivirus rilevavano su queste pagine codice malevolo, ma da analisi, il codice che da alcuni veniva rilevato malevolo non era altro che un errore in quanto venivano identificati come virus alcuni javascript usati da un plugin di wordpress.
Questa volta però la colpa è del malware: MW:JS:DEPACK che sta creando non pochi problemi in giro per il mondo.
Poiché sembra che questo malaware si stia diffondendo velocemente ne faccio un breve tutorial che spero possa servire anche ad altri.
Questa guida e tratta dalle istruzioni che ho trovato su:
http://www.victorciobanu.com/how-to-remove-mwjsdepack/
ringrazio Victor Ciobanu l’unico ad aver trovato la soluzione al problema.
Questo è il codiche che io ho trovato nell’header del sito:
e questo è il codice java che ne risulta quando viene decopresso il codice trovato:
Si noti che il link è chiamato in un iframe.
Questo è ciò che dovete fare per rimuovere il malware:
01. non perdete tempo nel cercare il file java colpevole tra tutti i file del vostro sito, in realtà il virus questa volta si nasconde molto meglio.
02. usate il client ftp che più preferite ed andate nella root principale del vostro sito, dove ci sono i file di installazione di WordPress
03. ordinate per data i file e notate subito che l’unico file che è stato recentemente modificato è: wp-settings.php
04. prelevate il file e con qualsiasi editor di testi cercate la seguente porzione di codice (quella evidenziata in grigio):
05. rimuovete il codice ed effettuato l’upload del file sul server (sovrascrivendo la vecchia versione)
06. aprite il vostro sito, guardate il codice… il vostro malaware è sparito
07. Ora bisogna procedere per eliminare l’alert di Goggle che si presenta in questo modo:
Per eliminare l’alert dovete utilizzare il servizio Webmaster tools di Google, andate su http://www.google.com/webmasters/ effettuate il login e nella prima schermata aggiungete il sito che volete venga controllato ed inserite il link, dopo di che seguite la procedura per verificare la proprietà del sito e dopo effettuate una richiesta di rivedere, da parte di Google, il sito dichiarando che avete eliminato il codice malevolo.
08. attenzione però che aver eliminato il codice non vuol dire aver eliminato il problema, verificate che il codice non sia presente anche nelle cartelle temporanee o di backup del sito.