Siti web infettati

In molti mi chiedono se il loro sito web, spesso fatto con un CMS come Joomla! o WordPress sia infettato.

Loro entrando con un browser in un sito, di solito con SO Windows e un classico Firefox/chrome/IE si ritrovano che l’antivirus diventa un albero di natale, chiedono se succede cosi anche a me..

Allora vediamo di essere veloci ma chiari:

  • per controllare la sicurezza usate Chrome che, ho scoperto di recente, essendo collegato con il db di google offre subito degli avvertimenti se c’è qualche connessione con siti web malevoli terzi (è l’unico chè se ne accorge subito)
  • se qualsiasi antivirus segnala qualcosa c’è sempre un problema, anche se l’altro non lo segnala.. non ci sono dubbi.
  • usate software online per uno scan veloce, ad esempio il sito http://sitecheck.sucuri.net/scanner/ è veramente utile per trovare le classiche “infezioni da demoni” in pratica i classici attacchi basilari che girano per la rete automatizzati in base alle vulnerabilità del software non aggiornato
  • ho sentito cose sconcertanti, tipo “il mio server ha linux e non può avere virus”.. allora.. intanto non è un virus.. poi quando si ha un servizio http pubblico si può star sicuri che arriva di tutto (avete mai guardato il log del server?!?).. poi comunque sia linux, windows, mac e os vari sono tutti vulnerabili ed ognuno ha i propri casini per software malevoli, semplicemente windows ne ha di più poichè ha la maggiorparte del mercato (faccio presente che il mac semplicemente non ha troppa utenza, ma non è ne sicuro ne aggiornato per problemi di sicurezza conosciuti in maniera tempestiva.. semplicemente per ora ci sono ancora pochi software malevoli per mac.. perchè non interessa il mac).
  • una volta che il sito è stato infettato non venitemi a chiedere di farvi un piacere a rimetterlo a posto, sarebbe da bacchettarvi le dita! Specialmente se si vogliono usare CMS come WordPress che è vulnerabilissimo si deve settare in sicurezza da subito ed eseguire backup costanti e relativamente recenti, una volta che il sito è infettato si deve perdere molto molto tempo e pazienza per sistemarlo, si fa molto prima a reinstallare e rimettere su le varie cose… o meglio ancora si dovrebbe tirar su un backup in caso estremo un attacco fosse risucita anche se messo tutto in sicurezza!

Ok, dette le basi non voglio dilungarmi oltre, se infettato chiaramente dipende da cosa è successo e  che tipo di attacco è, ma generalmente il metodo migliore è:

  1. cambio password utente wordpress admin / hosting / altri utenti anche email che possono essere stati trovati
  2. ripristino backup e riconfigurazione come l’ex scenario
  3. visualizzare log e settare in sicurezza in base all’attacco subito
  4. pulire dnscache / cache del browser / ecc nel sistema operativo e testare il sito
  5. testare il sito con security scanner  online e offline. controllare per un po’ di tempo (2 settimane che non ci siano altre falle)

 

Cosa può esser accaduto/infettato?

  • rubate informazioni di utenti registrati
  • riempito di spam tutto il sito
  • riempito di spam il database
  • resa la spam “virale”, nel senso che esiste solo modo che si propaghi e non che si tiri via (esempio nel chiamare le api base, nell’esportare articoli, nel database, nel core, ecc)
  • protetta l’infezione (questa è prorpio divertente, in molti settano perfino i permessi del file wordpress wp-config.php perchè sia di sola lettura.. non lo fa l’admin e lo fa un attacco per settare in sicurezza se stesso:))
  • infettati tutti i file javascript con tante cose brutte quanto il numero degli abitanti in cina
  • cambiato file del core di un cms per agire in certe situazioni (se scrivi un post -> invia a qualcuno, fai qualcosa)
  • ecc ecc ecc

Chiaramente non dico nulla di cosa fare se non hai un backup o se ti sei svegliato troppo tardi..
Se non c’è un backup inutile far previsioni, siete stati dei ***. (senza offesa)