By Leave a Comment on Common WordPress Malware Infections

Utilizzando egrep, siamo in grado di cercare più parole contemporaneamente se necessario, risparmiando così tempo in questo caso.

Oppure provate qualcosa del genere:

# grep -r "http://canadapharmacy.com" .

Questo funziona solo se l’infezione non è codificata, codificata o concatenata.

Un altro metodo utile è quello di accedere al vostro sito web attraverso diversi user agent e referrer. Ecco un esempio di come appare un sito web quando si usa un referrer Microsoft IE 6:

Prova Bots vs Browsers per controllare il tuo sito web attraverso un numero di browser diversi.

Gli utenti finali possono anche usare CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Come posso prevenirlo?

Prevenire un pharma hack può essere difficile. Sucuri ha scoperto che l’hack sfrutta regolarmente il software vulnerabile non aggiornato. Tuttavia, la vostra installazione di WordPress non aggiornata non è necessariamente il problema. Anche se siete aggiornati, un’altra installazione non aggiornata sullo stesso server potrebbe essere vulnerabile all’infezione. Se il vero payload risiede altrove sul vostro server, non nella directory del vostro sito web, allora catturarlo può essere eccezionalmente difficile.

Ecco un esempio di ciò che potreste cercare se non riuscite a trovare l’infezione nella vostra installazione:

Per prevenire un pharma hack, dovreste fare due cose:

  1. Mantenete il vostro software aggiornato,
  2. Steer clear of soup-kitchen servers.

Ridirigimenti malevoli

Un reindirizzamento malevolo invia un utente a un sito web malevolo. Nel 2010, sono stati rilevati 42.926 nuovi domini maligni. Nel 2011, questo numero è cresciuto a 55.294. E questo include solo i domini primari, non tutti i loro sottodomini.

Quando un visitatore viene reindirizzato a un sito web diverso da quello principale, il sito web può contenere o meno un payload dannoso. Supponiamo che tu abbia un sito web a myhappysite.com; quando qualcuno lo visita, il sito web potrebbe portare il visitatore a meansite.com/stats.php, dove il payload dannoso è nel file stats.php di quel sito. Oppure potrebbe essere un sito web innocuo con solo annunci e nessun payload dannoso.

Come vengo attaccato?

Come per molti attacchi malware, si riduce all’accesso. Il reindirizzamento dannoso potrebbe essere generato da una backdoor. L’hacker cercherebbe una vulnerabilità, come TimThumb o vecchie versioni di WordPress e, quando la trova, carica un payload che funziona come una backdoor.

Come appare?

Rilevare un redirect non è così complesso come rilevare alcune delle altre infezioni. Si trova spesso nel tuo file .htaccess e assomiglia a questo:

Ovvero a questo:

Ci possono essere casi in cui un redirect è codificato e risiede in uno dei tuoi file PHP. Se è così, di solito si trova nel tuo file header.php, footer.php o index.php; è stato anche conosciuto per risiedere nel file index.php principale e in altri file di template del nucleo. Non è sempre codificato, ma se lo è, avrà un aspetto simile a questo:

Come faccio a sapere se sono infetto?

Ci sono alcuni modi per controllare le infezioni. Ecco alcuni suggerimenti:

  • Utilizza uno scanner gratuito, come SiteCheck. Molto raramente perdono i reindirizzamenti dannosi.
  • Testate usando Bots vs Browser.
  • Ascoltate i vostri utenti. Potreste non rilevare il reindirizzamento, ma a volte un utente vi avviserà.

Se un utente rileva un problema, fate loro domande pertinenti per aiutare a diagnosticare il problema:

  • Quale sistema operativo stanno usando?
  • Quali browser stanno usando e quale versione(i)?

Più informazioni ottieni da loro, meglio puoi replicare il problema e trovare una soluzione.

Come viene pulito?

I redirect dannosi sono una delle infezioni più facili da pulire. Ecco un buon punto di partenza:

  1. Apri il tuo file .htaccess.
  2. Copia qualsiasi regola di riscrittura che hai aggiunto tu stesso
  3. Identifica qualsiasi codice dannoso, come il campione qui sopra, e rimuovilo dal file. Scorri fino in fondo a .htaccess per assicurarti che non ci siano direttive di errore che puntano alla stessa infezione.

Assicurati di cercare anche tutti i file .htaccess sul server. Ecco un modo veloce per vedere quanti ne esistono sul tuo server:

# find -name .htaccess -type f | wc -l

E questo ti dirà dove sono esattamente quei file:

# find -name .htaccess -type f | sort

L’infezione non è sempre limitata lì, però. A seconda dell’infezione, potresti anche trovare il reindirizzamento codificato e incorporato in un file come index.php o header.php.

Allarmante, queste infezioni possono replicarsi in tutti i tuoi file .htaccess. La backdoor responsabile può anche essere utilizzata per creare più file .htaccess in tutte le vostre directory, tutti con la stessa infezione. Rimuovere l’infezione può sembrare una lotta in salita, e a volte pulire ogni file che puoi trovare non è sufficiente. Ci sono anche casi in cui un file viene creato al di fuori della directory Web. La lezione è sempre guardare fuori dalla vostra directory Web così come all’interno di essa.

Come posso prevenirlo?

Un metodo semplice e veloce è cambiare la proprietà del file, o ridurre i permessi del file in modo che solo il proprietario abbia il permesso di modificarlo. Tuttavia, se il tuo account di root è compromesso, questo non ti servirà a molto.

Il file più importante di cui prendersi cura è .htaccess. Date un’occhiata al tutorial “Proteggete il vostro sito WordPress con .htaccess” per consigli su come farlo.

Conclusione

Eccovi: quattro attacchi prevalenti che causano il caos in molte installazioni di WordPress oggi. Potreste non sentirvi meglio se venite hackerati, ma si spera che, con questo po’ di conoscenza, vi sentirete più sicuri che l’hack può essere pulito e che il vostro sito web può essere restituito a voi. La cosa più importante è che se ne tragga una cosa: tenete sempre aggiornato WordPress.

Tony’s Top Ten Security Tips

  1. Rimuovi gli account generici, e conosci chi sta accedendo al tuo ambiente.
  2. Harden le tue directory in modo che gli attaccanti non possano usarle contro di te. Blocca l’esecuzione di PHP.
  3. Mantieni un backup; non sai mai quando ne avrai bisogno.
  4. Connettiti in modo sicuro al tuo server. SFTP e SSH sono preferibili.
  5. Evitare i server da cucina. Segmentate tra sviluppo, staging e produzione.
  6. Mantenetevi aggiornati con il vostro software – tutto.
  7. Eliminate le credenziali non necessarie, anche per FTP, wp-admin e SSH.
  8. Non è necessario scrivere post come amministratore, né tutti devono essere amministratori.
  9. Se non sapete cosa state facendo, sfruttate un provider di hosting WordPress gestito.
  10. Filtraggio IP + Autenticazione a due fattori + Credenziali forti = Accesso sicuro

I plugin di sicurezza più utili di Tony

  • Sucuri Sitecheck Malware Scanner Questo plugin di Tony e della squadra Sucuri consente una scansione completa di malware e blacklist nella vostra dashboard di WordPress, e include un potente firewall di applicazioni web (WAF).
  • Limita i tentativi di accesso Limita il numero di tentativi di accesso possibili sia attraverso il login normale che utilizzando i cookie di autenticazione.
  • Autenticazione a due fattori Questo plugin abilita l’autenticazione a due fattori di Duo, utilizzando un servizio come una richiamata telefonica o un messaggio SMS.
  • Theme-Check Prova il tuo tema per assicurarti che sia conforme agli standard di revisione dei temi.
  • Plugin-Check Fa quello che fa Theme-Check ma per i plugin.

Strumenti di sicurezza

  • Sucuri SiteCheck
  • Scanner smaschera parassiti

Risorse di sicurezza

  • Sucuri Blog
  • Sicurezza del sito web alla Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Blocco di WordPress, Michael Pick

Articoli utili per la sicurezza

  • “10 utili regolazioni per la sicurezza di WordPress”, Jean-Baptiste Jung
  • “10 passi per rendere sicura la tua installazione di WordPress”, Fouad Matin
  • “Google Blacklist Warnings: C’è qualcosa che non va”, Tony Perez
  • “Tempra WordPress”, WordPress Codex
  • “Come fermare l’hacker e garantire che il tuo sito sia bloccato”, Tony Perez
  • “Rimozione malware dal sito web: WordPress Tips and Tricks,” Tony Perez
(al)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.