in Wordpress

Meu blog foi atacado pelo zettapetta.js

Depois de estar ausente do site por — praticamente três semanas seguidas, descobri hoje que meu site foi vítima de um ataque em massa a blogs que são movidos a WordPress. A descoberta não ocorreu instantaneamente: Tudo começou porquê, ao logar no dashboard do WordPress, percebi que a aparência das coisas estava um tanto quanto diferente, como se houvessem apagado todos os arquivos css (da área administrativa) do site. Intrigado por não entender a origem do problema — afinal, eu não havia feito grandes atualizações ou instalado novos plugins recentemente —, já havia me rendido à solução desesperada padrão, reinstalar a última versão da ferramenta.

Durante a reinstalação, graças a um vício que possuo — ficar apertando F5 freneticamente para ver todas as mensagens (temporárias) de erro que aparecem enquanto os arquivos estão sendo recolocados no lugar —, percebi que meu site estava se conectando ao domínio zettapetta.com, e logo imaginei que provavelmente havia mais caroços neste angu do que eu realmente gostaria. Um pouco de investigação me levou a descobrir que um script injection prejudicou vários sites que usam o WordPress a partir dos dias 6 e 7 de maio de 2010.

Dentre os possíveis comportamentos inadequados encontrados nos sites invadidos, identifiquei, com a ajuda de um programa de FTP, que próximo ao cabeçalho de todos os arquivos .php da minha instalação de WordPress havia um código malicioso que começava da seguinte maneira:

<?php /**/ eval(base64_decode(“aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9z.

Este era um indicador claro de que eu havia sido vítima do malware MW:MROBH:1, que se infiltra em sites como o meu e tenta instalar, nas máquinas de usuários desavisados, uma série de códigos maliciosos. Percebi que eu deveria fazer alguma coisa imediatamente.

Quando já estava me conformando com o fato de que perderia todo o conteúdo deste blog — pois as instruções iniciais de recuperação citavam medidas realmente drásticas, como excluir todos os arquivos do site —, acabei encontrando uma solução de clean up muito simples, graças ao site de segurança digital sucuri.net. Tal solução pode ser aplicada com o uso de SSH ou baixando um arquivo texto de lá — neste último caso, é necessário mudar a extensão do arquivo para .php, fazer o upload para o servidor do seu blog e executá-lo a partir de qualquer navegador. Em alguns instantes, uma mensagem similar a esta será exibida:

Tirei duas grandes lições deste episódio. A primeira, que nem sempre rodar a última versão disponível de um software te garante imunidade a algumas ameaças. A segunda, que ficar muito tempo sem visitar o próprio blog pode fazer com que estejamos executando ameaças como estas sem nem mesmo sabermos disso. Neste último caso, peço desculpas a quem quer que tenha visitado meu blog neste período de infecção, e seriamente recomendo que passem um anti-vírus atualizado em seus computadores.

Agora, voltaremos à programação normal.