Guida per ripulire un Blog WordPress infetto da Malware : antimalware

Tag: antimalware

Andrea (Xlogic.org) Leave a comment News da Xlogic, Blogging, Drupal, Joomla, Magento, OpenCart, Performance e sicurezza, Prestashop, Wordpress, ZenCart

Guida per ripulire un Blog WordPress infetto da Malware

Guida per ripulire un Blog WordPress infetto da Malware – Può succedere che all’interno di un sito web siano presenti uno o più Virus / Malware.

Un Virus può infiltrarsi all’interno di un sito web a causa di diversi motivi:

  • Installazione Plugin / Tema contenente codice malevolo
  • Aggiornamento Plugin / Tema contenente codice malevolo
  • Mancato aggiornamento all’ultima versione dei Plugin / Temi
  • Mancato aggiornamento all’ultima versione del CMS

Un Virus o Malware non può propagarsi negli altri siti web su un nostro Server Condiviso perché utilizziamo CageFS della Cloudlinux, una tecnologia che permette di isolare ogni singolo Account:

Il problema principale causato dal Malware è legato allo Spam, in pratica dall’Account del sito web infettato vengono inviate automaticamente migliaia di emails Spam senza che l’utente se ne accorga.

A volte l’utente può accorgersi che sta succedendo qualcosa di insolito per i seguenti motivi:

  • Il sito web è stato sospeso
  • Il sito web viene segnato da Google come dannoso e pericoloso
  • Ricezione continua di email d’errore che indicano che dalla casella di posta è partita una determinata mail che non è stata mai ricevuta dal destinatario.

Se è presente un Virus / Malware all’interno dell’account, il sito deve essere immediatamente sospeso perché risulta essere una minaccia vera e propria per il Server in quanto c’è il rischio che l’IP del server condiviso finisca in blacklist a causa dell’attività di Spam svolta dall’account, in questo caso tutti gli utenti residenti sullo stesso Server avranno problemi di posta fino a quando l’IP del Server non verrà rimosso dalla sospensione (Solitamente ci vogliono 2-3 giorni dalla richiesta agli organi competenti).

Ovviamente non possiamo permetterci di compromettere il funzionamento di un intero Server Condiviso a causa di un singolo Account ed è proprio per questo motivo che il sistema sospenderà automaticamente tutti gli Account degli utenti che effettueranno Spam.

Ripulire un sito web dai Virus non è semplice, ma in un modo o nell’altro il problema deve essere risolto.

Di seguito i passi da seguire per cercare di ripulire il sito web dai Virus / Malware:

Backup dei files e del database

E’ fondamentale effettuare periodicamente un Backup completo del proprio Sito Web; per effettuare questa operazione è possibile farla manualmente da cPanel oppure acquistare il servizio di Backup Automatico (Jet Backup).

In ogni caso è molto importante effettuare un Backup almeno ogni 2 giorni anche se sarebbe perfetto effettuarlo giornalmente, in questo modo, per ogni problema, potrai sempre ripristinare una copia di backup funzionante in un batter d’occhio.

Scansione Antivirus da cPanel

Effettua una scansione Antivirus da cPanel, se non visualizzi il programma Antivirus significa che non è incluso nel tuo piano Hosting, scopri come effettuare una scansione antivirus:

Scansione Antivirus sul Web

Prova ad effettuare una scansione Antivirus anche dai tools presenti sul Web, scopri come:

Scansione Antivirus dal Computer

Oltre alla scansione Antivirus effettuata da cPanel (nonostante il risultato), scarica un Backup completo del tuo sito web all’interno del tuo PC ed effettua una scansione con il programma Antivirus del tuo Computer.

Esamina i files del Backup

Oltre ad effettuare la scansione antivirus è necessario esaminare ogni singolo files del sito web, in particolar modo i files .php.

Se per esempio rilevi un file .php con un nome insolito ed all’interno dello stesso visualizzi un codice criptato composto da caratteri alfanumerici senza un ordine logico e senza un codice vero e proprio, significa che quel files è un Virus/Malware e deve essere immediatamente rimosso o comunque rinominato (esempio: da 1.php a 1.php-VIRUS), in questo modo l’estensione non sarà più .php e da quel files non potranno più partire le mails in Spam.

Oltre ad effettuare questo controllo è necessario visualizzare i seguenti files:

Cancella tutti i files e le cartelle dalla Public_html

Se effettuando le operazioni appena citate non riesci a risolvere il problema, prova a cancellare l’intero contenuto della cartella principale del sito web, la cartella Public_html (tranne la cartella cgi-bin).

Puoi effettuare questa operazione accedendo via FTP, scopri come:

Se possiedi un Hosting multidominio ed hai altri domini che puntano al tuo piano Hosting non devi cancellare tutte le cartelle ed i files presenti all’interno della cartella public_html perché altrimenti cancellerai anche il contenuto dei siti web che puntano al piano Hosting.

Cambia le password

Modifica le password al tuo Account cPanel (FTP), inoltre modifica anche la password a tutti i tuoi indirizzi mail, scopri come:

Reinstalla WordPress

Dopo aver cancellato tutti i files e le cartelle presenti all’interno della cartella Public_html, prova a reinstallare WordPress, scopri come:

Reinstalla i Plugin ed il tema

Installa nuovamente tutti i Plugin senza copiarli dal backup del sito web, effettua la stessa operazione per il tema.

Copia i files dal Backup

Accedi via ftp e copia tutte i files del sito web prelevandoli da un Backup completo; puoi copiare e sostituire direttamente la cartella dei files presente all’interno della cartella wp-content.

Scansione Antivirus dal Computer

Effettua nuovamente una scansione Antivirus dal tuo Computer per vedere se sono presenti ancora Virus o Malware.

Plugin per la sicurezza

Il team di Xlogic ti consiglia di installare solo ed esclusivamente i Plugin dalla Directory ufficiale di WordPress e soprattutto di tenere solamente quelli che servono davvero, tutti gli altri non li installare o comunque cancellali.

Stessa cosa per i temi, mantieni attivo solamente il tema che stai utilizzando.

Richiesta di riconsiderazione a Google

Se il tuo sito web viene considerato da Google come dannoso o pericoloso è necessario effettuare una richiesta di riconsiderazione dopo aver risolto il problema.

Per effettuare questa operazione puoi seguire questa guida:

Se non sei riuscito a risolvere il problema…

Se non sei riuscito a risolvere il problema puoi:

  • Contattare un Webmaster che ti risolva il problema

Oppure

  • Attivare il servizio annuale di Imunify Security offerto da Xlogic

Scopri che cos’è Imunify Security!

Sospensione Account

Se il tuo Account verrà sospeso dovrai aprire un ticket all’assistenza richiedendo la rimozione della sospensione, dopo di che i nostri tecnici rimuoveranno l’account dalla sospensione e potrai effettuare tutte le verifiche del caso.

Il sistema sospenderà nuovamente in maniera automatica il sito web se da esso partono le emails Spam, in questo caso i nostri tecnici toglieranno nuovamente dalla sospensione l’Account ma dovrai risolvere definitivamente il problema anche perché stai mettendo a rischio la sicurezza dell’intero Server.

Nel caso l’account venisse nuovamente sospeso, i nostri tecnici potranno effettuare le seguenti operazioni:

  • Mantenere sospeso l’account
  • Resettare interamente l’account cancellando tutti i files

oppure

  • Cambiare i permessi dei files e delle cartelle in maniera tale da bloccare il Virus, in questo modo il tuo sito non sarà visibile ma comunque potrai continuare a lavorare per risolvere definitivamente il problema

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Performance e sicurezza

Aggiornamento Imunify – Protezione completa per il tuo sito web

Da oggi Imunify Security il servizio anti-malware compreso in tutti i nostri piani Hosting WordPress e non solo si arricchisce di nuove funzionalità.

  • Prevenzione sulla compromissione di un account WordPress
  • Protezione con Captcha e reCaptcha
  • Difesa ProAttiva
  • Scanner Malware 

La Prevenzione sulla compromissione di un account WordPress è un impostazione di sicurezza per i siti Web realizzati con WordPress, pensata per gli utenti che utilizzano password deboli.

Questa nuova funzione è progettata per bloccare attacchi di forza bruta su larga scala. Lo fa controllando le password utilizzate nei tentativi di accesso rispetto a un elenco di password deboli note. Se un tentativo di accesso utilizza una di queste password, l’utente viene reindirizzato a una pagina che gli chiede di cambiare la sua password.

Quando l’utente cliccherà sul pulsante “Reimposta password”, verrà indirizzato alla pagina di reimpostazione della password di WordPress. Questo non interromperà alcun tipo di funzionalità di WordPress, poiché la procedura di reimpostazione della password non richiede l’accesso da parte di un utente.

La Protezione con Captcha è una funzione intesa a distinguere l’input umano dall’input della macchina per proteggere i siti Web dallo spam e da diversi tipi di abusi automatici. Imunify utilizza il servizio reCAPTCHA .

Esistono due livelli nel comportamento CAPTCHA:

Se un utente di un sito Web viene aggiunto alla Grey List (l’accesso è bloccato), quindi CAPTCHA gli consente di sbloccarsi. Quando tenta di accedere al sito Web viene reindirizzato al Server Captcha da ipset, dove può vedere la pagina di protezione che chiede di confermare che non è un robot spuntando una casella.

In caso di successo, l’utente viene reindirizzato al sito Web, il che significa che l’accesso è sbloccato e l’indirizzo IP di questo utente viene rimosso dalla Grey List.

Con reCAPTCHA invisibile, non è necessario che un utente umano passi attraverso la conferma umana: il processo passerà sotto il cofano e un utente verrà reindirizzato al sito Web. Nel caso in cui reCAPTCHA invisibile non riesca a rilevare se un utente è un essere umano o meno, verrà visualizzato CAPTCHA visibile.

CAPTCHA comunque farà sempre la guardia ai siti Web e controllerà l’attività di ciascun IP. Con l’aiuto di reCAPTCHA bloccherà i bot e proteggera i siti Web da spam e abusi.

La Difesa ProAttiva intercetta tutte le attività in tempo reale, analizza il comportamento degli script PHP e impedisce l’esecuzione di codici dannosi noti o sconosciuti. È un modulo PHP che intercetta le chiamate di sistema, il funzionamento del file system e altro, quindi analizza quegli elementi per riconoscere i pattern. Utilizza l’euristica avanzata per rilevare sequenze di esecuzione potenzialmente pericolose e interrompe tali sequenze prima che danneggino il server.

Imunify in modalità kill, uccide l’esecuzione dello script identificata come pericolosa.

A differenza degli scanner di malware che eseguono costantemente la scansione e la scansione dei file con un impatto negativo sull’I/O, la Difesa proattiva ha solo un impatto minimo sulle prestazioni del sito web.

Lo Scanner Malware è attivo sempre e rileva, pulisce o mette in quarantena in tempo reale i files infetti residenti nel sito web.

Inoltre (se falsi positivi) è possibile ripristinare i files in qualsiasi momento, e ignorare i files in un secondo momento,

Mantenere il codice dannoso lontano dai files è essenziale per proteggere i tuoi siti Web, siano essi basati su PHP (come WordPress, Joomla o Drupal) o creati con HTML classico e statico.

 

– Imunify Security è compreso nei piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro (+ iva) l’anno.

Alla Prossima.

Andrea (Xlogic.org) Leave a comment News da Xlogic, Coding

Analisi dei Virus su WordPress – Imunify Security

Ormai da qualche anno il sistema più utilizzato per creare i siti web è senza dubbio WordPress, quindi la maggior parte dei webmaster non crea più i siti web statici tramite html e css ma utilizza sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Prestashop e molti altri.

Analisi dei Virus su WordPress – Imunify Security

La popolarità di WordPress lo rende un obiettivo primario per gli hacker che cercano in tutti i modi di bucare i siti web in maniera diretta oppure tramite dei virus / malware che inseriscono all’interno di plugin o temi.

In particolar modo sta girando un virus pericoloso e difficile da individuare che sta prendendo di mira WordPress, di conseguenza abbiamo deciso di fornirti un’analisi approfondita di questo malware e ti spieghiamo come sia possibile riuscire a rimuoverlo.

COME AGISCE UN VIRUS SU WORDPRESS

WordPress Malware mascherato

Questo malware WordPress è composto da stringhe con codifica Base64 e nomi di variabili lunghe, questo complica il codice rendendolo più difficile da analizzare.

Virus WordPress autodistruggente

Il file è progettato per autodistruggersi ed eliminarsi se una delle variabili _REQUEST ha il nome delete.

Virus WordPress: recupera i files remoti

Questo malware WordPress invia una richiesta tramite il parametro $ _REQUEST per un file aggiuntivo e come puoi vedere dal seguente codice, ha come target anche il CMS Joomla.

Anche se gli amministratori di sistema più prudenti disabilitano allow_url_fopen in php.ini, cerca comunque di recuperare il file usando curl.

Virus WordPress: cerca directory infettabili

A volte, i webmaster usano il nome di dominio di un sito come nome di directory della root principale, per esempio il dominio tuodominio.it potrebbe contenere: home/public_html/tuodominio.it

In questo caso, la Root principale viene utilizzata da questo malware WordPress per cercare di identificare le directory che possono essere infettate, questo è solo uno dei mezzi con cui questo virus WordPress cerca di identificare le directory infettabili.

Virus WordPress: inserisce il file in remoto

Dopo aver identificato le directory infettabili, questo malware WordPress utilizza la funzione di processo per consegnare il file recuperato in remoto che verifica se la directory è scrivibile e se fa parte di un CMS WordPress o Joomla

In tal caso, viene chiamato il seguente codice: inject_wordpress_main_php

Questo, a sua volta, colloca i contenuti del file recuperato in remoto in un file WordPress cruciale, come:

/wp-admin/class-wp-main.php
/wp-content/class-wp-main.php
/class-wp-main.php

Infine, la funzione di processo verifica se una parola chiave fornita con la richiesta (sotto forma di $ _REQUEST [“parola chiave”] o la parola chiave predefinita (ttmaintt) fa parte della risposta quando si accede agli URL infetti.

COME IDENTIFICARE IL VIRUS WORDPRESS

Tutti i file che abbiamo incontrato durante le nostre indagini erano associati al nome del file

wp-domain.php

 

hash

Questo malware ha utilizzato gli hash SHA256:

bc18abd55d2fc15bf8c85c49b35051943ce2d807c3ab0fadf515a8feecb0b762

 

Funzioni

Ha definito un totale di 35 funzioni:

– check_config

– is_dir_empty

– in_array_partial

– bool_to_string

– process

– is_cms

– get_search_keyword

– assert_main_php

– get_wordpress_main_content

– get_joomla_main_content

– get_main_content(

– inject_wordpress_main_php

– inject_joomla_main_php

– inject_main_php

– get_current_user_name

– get_user_domains

– remove_tld

– is_wordpress

– is_joomla

– get_dirs_recursive

– get_domains_dir

– get_valid_dirs

– could_be_domain

– get_dirs

– have_tld

– is_domain

– is_domain_partial

– get_common_dirs(

– get_tlds

– clean_domain

– not_www

– get_domain

– remove_www

– estimate_current_path

– url_get_contents

COME BLOCCARE UN VIRUS SU WORDPRESS

E’ difficile bloccare questa tipologia di malware, ad esempio anche disattivando il comando allow_url_fopen non sarai protetto perché se lo fai il malware utilizzerà il modulo curl.

Altrimenti sarebbe possibile utilizzare un firewall per bloccare tutto il traffico generato dal Web Server in modo indipendente, per assicurarsi che questo malware non riesca a recuperare il file remoto ma con questa operazione verrebbe bloccato ciò anche tutto il traffico legittimo che WordPress utilizza per le sue normali operazioni, come gli aggiornamenti.

Quindi il modo migliore per proteggersi da questo virus WordPress è seguire queste indicazioni:

  • Controlla l’integrità dei tuoi file WordPress usando strumenti come wp-cli
  • Scansiona regolarmente il tuo sito web con Antivirus
  • Evita di scaricare plugin e temi da fonti non ufficiali
  • Accedi e controlla il traffico del tuo sito Web utilizzando i registri di mod_forensics o mod_security

 

Naturalmente, se sei un cliente di Xlogic Hosting, all’interno del tuo piano è già presente oppure può essere acquistato a parte Imunify Security che ha la funzione di bloccare questo virus WordPress come moltissimi altri.

Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Imunify Security è compreso nei seguenti piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro (+ iva) l’anno.

Per maggiori informazioni puoi consultare questa pagina: Antivirus Imunify Security Xlogic

 

Alla prossima!