web analytics
Pubblicità

di Giancarlo Nicoli

È capitato anche a me.

Penso di essermene liberato. Come ho fatto? Ho seguito le istruzioni fornite qui:
http://forum.swzone.it/sicurezza/113817-avast-individua-html-iframe-inf.html

La differenza rispetto a quanto pubblicato sul forum indicato è che non ho postato i file di log, non ne ho avuto bisogno, ho fatto da me.

Vorrei scendere un po’ più in dettaglio e raccontare l’esperienza personale, con la speranza che possa essere di aiuto a voi lettori.

Mentre navigavo innocentemente sul mio stesso sito, per verificarne le impostazioni, mi sono accorto che non riuscivo più a scrivere post. Ho tentato di aggiornare WordPress, ma il sito si bloccava senza effettuare aggiornamenti. A quel punto ho pensato a un virus.

Ho fatto partire due scansioni, una dopo l’altra. La prima con l’antivirus residente Avast, la seconda con Trend Micro HouseCall, che è un antivirus online gratuito. In effetti ho trovato dei virus, più di uno.

Dopo Avast e Trend Micro HouseCall, ho lanciato SuperAntiSpyware, che ha individuato un ulteriore virus, che i primi due sistemi non avevano rilevato.

Ho usato due volte ComboFix.

Dopo aver pulito il computer, navigando su questo sito, Scoprire.biz, leggevo messaggi di avvertimento da parte di Avast, che mi segnalava di avere bloccato un’intrusione di tipo Trojan. Questo significava che il virus, residente sul mio computer, era riuscito a carpire ID e password di accesso al sito e lo aveva infettato.

Ho prontamente segnalato la situazione al provider, BlueHost, che mi ha risposto così:

Hi-

Thanks for providing that. Sorry you’re having a problem. However, we here at Bluehost don’t specialize in security and usually recommend that if you have been infected that you contact a 3rd party company who does handle that. Here is some information that I usually send out when dealing with these kinds of matters:

When this happens to a site it is likely there is an unpatched vulnerability. I recommend contacting a malware / virus removal service. We have referred many of our clients here in such cases:

http://wewatchyourwebsite.com

or

http://sucuri.net

You will also want to review these links to help you arm yourself against future hacking.

1. Review these articles:
http://25yearsofprogramming.com/blog/20070705.htm
http://helpdesk.bluehost.com/index.php/kb/article/000511

2. How to prevent hacking:
http://googlewebmastercentral.blogspot.com/2009/02/best-practices-against-hacking.html
http://www.hackingalert.com/hacking-articles/hacker-tricks.php
http://www.squidoo.com/protect-your-website-against-hacking

3. Tips
Prevent Google Hacking
http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1196049,00.html

Il sito Sucuri ha una pagina in cui è possibile verificare se un sito è infetto oppure no. Il mio, purtroppo, come temevo, lo era.

Per fortuna è stato abbastanza semplice ripulirlo – almeno così mi è sembrato inizialmente. Il virus si era annidato in testa alle pagine di template. Con l’editor ho visualizzato e ripulito tutte le pagine, una alla volta.
Pensavo di essere a posto, invece il virus è tornato. Disperazione! Forse un po’ di codice auto-replicante era andato a nascondersi nel database. Ora, di informatica ne capisco un pochino, ma non sono certo un mago. Maneggiare il database è al di fuori delle mie possibilità.

Siccome avevo capito che – per ripulire il sito – avrei impiegato una quantità di tempo imprecisata, ho installato un plugin, Maintenance Mode, configurato in modo da disabilitare la navigazione sul sito, avvertire i visitatori e possibilmente non farli infettare.

Ho recuperato una (purtroppo) vecchia copia di backpupe ho cercato di ripristinare il sito, ma non ci sono riuscito! Panico assoluto! Affrontavo la possibilità di perdere quattro anni di lavoro. Però, mentre trafficavo nel pannello di controllo di BlueHost, per cercare di capire come caricare la vecchia copia di backup che avevo, ho trovato la possibilità di ripristinare il sito con una copia di backup effettuata da BlueHost stesso, copia che era precedente di un mese rispetto alla data in cui stavo cercando di rimediare al danno, e di circa quindici giorni precedente la data di presunta infezione del sito. Se avessi ripristinato quel backup, non avrei perso nulla! Così ho fatto, e il tutto è consistito in un semplice click.

Ho tirato veramente un sospiro di sollievo.

Lezione imparata sulla mia pelle: effettuare spesso copie di backup, perché servono quando uno meno se lo aspetta.

Ora mi aspettava un altro compito: migliorare la sicurezza dell’installazione di WordPress. Su una delle pagine, dedicate all’argomento sicurezza, che ho visitato (non ricordo quale), ho trovato menzione del plugin Better WP Security. L’ho installato e – passo dopo passo, con molta prudenza – ho iniziato ad applicare le varie procedure di sicurezza proposte dal plugin.

Stranamente, però, mi sono accorto di avere ancora il sito infettato. Sono andato a ripulire le varie pagine non più attraverso la dashboard di WordPress ma direttamente dal File Manager del pannello di controllo. Ho ripulito tutte le pagine, le ho protette da scrittura (si imposta il codice su 0444 – la spegazione tecnica di come ho fatto va al di là delle mie possibilià divulgative), ho cancellato tutti i temi che avevo installato ma che non erano in uso e che erano tutti infettati. Ho effettuato un nuovo scan con sito Sucuri e ho finalmente avuto il risultato che speravo: il sito è ora pulito.

Anche il computer è ripulito.

Navigando qua e là sulle pagine che danno consigli su come affrontare le infezioni virali sia sul computer che sul sito web, ho trovato un plugin per WordPress che assicura una copia di backup del sito conservata esternamente sia al vostro sito che al vostro computer: Dropbox. L’ho installato e funziona perfettamente. È necessaria la registrazione.

Durante tutto il periodo in cui il sito è risultato infetto, ogni notte ho fatto analizzare il mio computer da diversi programmi e servizi antivirus e antimalware. Li elenco per comodità vostra e anche mia, casomai dovessi nuovamente aver bisogno:

Programmi installati e residenti sul computer:

Programma installato e poi rimosso:

Programmi antivirus non residenti, da lanciare online:

Plugin di WordPress installati dopo la disavventura:

Siti che consentono la scansione di altri siti:

 

Aggiornamento del 13 maggio 2012

Il malware non era stato debellato. Il giorno successivo alla pulitura e alla stesura di questo post mi sono ritrovato con il sito nuovamente infetto. Ho dovuto ricominciare tutto da capo. Ho sviluppato una routine di lavoro un po’ più veloce e (questa volta) ho salvato tutti i file con estensione .php sul computer di casa. Dovesse accadere ancora, avrei la possibilità di ripristinare la funzionalità del sito in modo più veloce.

Il fatto che il sito sia stato nuovamente modificato significa che il programma che lo altera è residente nel server, perché dopo la prima infezione avevo cambiato tutte le password e ho evitato di salvarle in qualche file di testo sul computer.

In una qualche pagina dedicata ai consigli su come debellare le infezioni dei server (spiacente, non ricordo quale e non avevo preso nota) avevo trovato l’indicazione del fatto che, qualche volta, le istruzioni per far partire il javascript che altera le pagine in .php e inietta il codice malevolo sono inserite nel file footer.php. Sono andato a vedere e ho notato una riga sospetta (l’ho cancellata senza tenerne copia) là dove era presente il codice di Google Analytics. Sono andato sul sito Google e ho recuperato il codice Analytics, che ho sostituito a quello precedente. Erano diversi. Ho poi cancellato quattro file, che avevano estensione .tar.gz, vecchi di quasi quattro anni, residenti nella cartella /public_html.

Sarà stato quello, oppure sarà stata la messa in funzione del plugin Better WP Security, o forse tutte e due le cose, fatto sta che per tre giorni il sito è scampato agli attacchi.

Stasera ho trovato tutti i file modificati, ma nessuno affetto da codice maligno. Mi è arrivata una email da BlueHost, il provider su cui è situato Scoprire.biz, che mi avverte del fatto che

This notice is to inform you that we have detected malicious code in your website files. We have compiled a list of compromised files on your account, as well as the code injected, below.

In order to maintain a secure hosting environment, we will be automatically correcting these compromised files on your account

Tradotto, viene più o meno così: abbiamo trovato codice maligno nel tuo sito web. Inviamo la lista dei file compromessi sul tuo sito, insieme al codice. Per mantenere un ambiente di hosting sicuro, correggeremo automaticamente questi file compromessi del tuo sito.

Con il che, non ho però capito se l’email è tardiva oppure se nel pomeriggio il sito è stato attaccato nuovamente e poi prontamente risanato, perché stamattina era ancora tutto a posto, e stasera era tutto come lo avevo lasciato stamattina. Mistero.

Qualora gli attacchi proseguissero e l’attaccante riuscisse nuovamente a infettare il sito, mi troverei costretto ad azzerare tutto e installare da capo WordPress e poi caricare il database, che nel frattempo ho esportato e controllato (è pulito).

 

Siamo giunti al termine dell’articolo. Esso è stato scritto con sincerità e scrupolosità. Se – ora o in futuro – desideri creare un nuovo sito, o trasferirne uno esistente, con BlueHost, ti invito a servirti del link seguente: vai sul sito BlueHost!. Caro lettore, ti informo che ricevo una commissione per ogni conto aperto.

I link sono stati controllati e risultano funzionanti alla data di aggiornamento del presente post (14 maggio 2012).

 

Comments

Comments are closed.

%d bloggers like this: