Guida per ripulire un Blog WordPress infetto da Malware : antivirus

Tag: antivirus

Andrea (Xlogic.org) Leave a comment News da Xlogic, Blogging, Drupal, Joomla, Magento, OpenCart, Performance e sicurezza, Prestashop, Wordpress, ZenCart

Guida per ripulire un Blog WordPress infetto da Malware

Guida per ripulire un Blog WordPress infetto da Malware – Può succedere che all’interno di un sito web siano presenti uno o più Virus / Malware.

Un Virus può infiltrarsi all’interno di un sito web a causa di diversi motivi:

  • Installazione Plugin / Tema contenente codice malevolo
  • Aggiornamento Plugin / Tema contenente codice malevolo
  • Mancato aggiornamento all’ultima versione dei Plugin / Temi
  • Mancato aggiornamento all’ultima versione del CMS

Un Virus o Malware non può propagarsi negli altri siti web su un nostro Server Condiviso perché utilizziamo CageFS della Cloudlinux, una tecnologia che permette di isolare ogni singolo Account:

Il problema principale causato dal Malware è legato allo Spam, in pratica dall’Account del sito web infettato vengono inviate automaticamente migliaia di emails Spam senza che l’utente se ne accorga.

A volte l’utente può accorgersi che sta succedendo qualcosa di insolito per i seguenti motivi:

  • Il sito web è stato sospeso
  • Il sito web viene segnato da Google come dannoso e pericoloso
  • Ricezione continua di email d’errore che indicano che dalla casella di posta è partita una determinata mail che non è stata mai ricevuta dal destinatario.

Se è presente un Virus / Malware all’interno dell’account, il sito deve essere immediatamente sospeso perché risulta essere una minaccia vera e propria per il Server in quanto c’è il rischio che l’IP del server condiviso finisca in blacklist a causa dell’attività di Spam svolta dall’account, in questo caso tutti gli utenti residenti sullo stesso Server avranno problemi di posta fino a quando l’IP del Server non verrà rimosso dalla sospensione (Solitamente ci vogliono 2-3 giorni dalla richiesta agli organi competenti).

Ovviamente non possiamo permetterci di compromettere il funzionamento di un intero Server Condiviso a causa di un singolo Account ed è proprio per questo motivo che il sistema sospenderà automaticamente tutti gli Account degli utenti che effettueranno Spam.

Ripulire un sito web dai Virus non è semplice, ma in un modo o nell’altro il problema deve essere risolto.

Di seguito i passi da seguire per cercare di ripulire il sito web dai Virus / Malware:

Backup dei files e del database

E’ fondamentale effettuare periodicamente un Backup completo del proprio Sito Web; per effettuare questa operazione è possibile farla manualmente da cPanel oppure acquistare il servizio di Backup Automatico (Jet Backup).

In ogni caso è molto importante effettuare un Backup almeno ogni 2 giorni anche se sarebbe perfetto effettuarlo giornalmente, in questo modo, per ogni problema, potrai sempre ripristinare una copia di backup funzionante in un batter d’occhio.

Scansione Antivirus da cPanel

Effettua una scansione Antivirus da cPanel, se non visualizzi il programma Antivirus significa che non è incluso nel tuo piano Hosting, scopri come effettuare una scansione antivirus:

Scansione Antivirus sul Web

Prova ad effettuare una scansione Antivirus anche dai tools presenti sul Web, scopri come:

Scansione Antivirus dal Computer

Oltre alla scansione Antivirus effettuata da cPanel (nonostante il risultato), scarica un Backup completo del tuo sito web all’interno del tuo PC ed effettua una scansione con il programma Antivirus del tuo Computer.

Esamina i files del Backup

Oltre ad effettuare la scansione antivirus è necessario esaminare ogni singolo files del sito web, in particolar modo i files .php.

Se per esempio rilevi un file .php con un nome insolito ed all’interno dello stesso visualizzi un codice criptato composto da caratteri alfanumerici senza un ordine logico e senza un codice vero e proprio, significa che quel files è un Virus/Malware e deve essere immediatamente rimosso o comunque rinominato (esempio: da 1.php a 1.php-VIRUS), in questo modo l’estensione non sarà più .php e da quel files non potranno più partire le mails in Spam.

Oltre ad effettuare questo controllo è necessario visualizzare i seguenti files:

Cancella tutti i files e le cartelle dalla Public_html

Se effettuando le operazioni appena citate non riesci a risolvere il problema, prova a cancellare l’intero contenuto della cartella principale del sito web, la cartella Public_html (tranne la cartella cgi-bin).

Puoi effettuare questa operazione accedendo via FTP, scopri come:

Se possiedi un Hosting multidominio ed hai altri domini che puntano al tuo piano Hosting non devi cancellare tutte le cartelle ed i files presenti all’interno della cartella public_html perché altrimenti cancellerai anche il contenuto dei siti web che puntano al piano Hosting.

Cambia le password

Modifica le password al tuo Account cPanel (FTP), inoltre modifica anche la password a tutti i tuoi indirizzi mail, scopri come:

Reinstalla WordPress

Dopo aver cancellato tutti i files e le cartelle presenti all’interno della cartella Public_html, prova a reinstallare WordPress, scopri come:

Reinstalla i Plugin ed il tema

Installa nuovamente tutti i Plugin senza copiarli dal backup del sito web, effettua la stessa operazione per il tema.

Copia i files dal Backup

Accedi via ftp e copia tutte i files del sito web prelevandoli da un Backup completo; puoi copiare e sostituire direttamente la cartella dei files presente all’interno della cartella wp-content.

Scansione Antivirus dal Computer

Effettua nuovamente una scansione Antivirus dal tuo Computer per vedere se sono presenti ancora Virus o Malware.

Plugin per la sicurezza

Il team di Xlogic ti consiglia di installare solo ed esclusivamente i Plugin dalla Directory ufficiale di WordPress e soprattutto di tenere solamente quelli che servono davvero, tutti gli altri non li installare o comunque cancellali.

Stessa cosa per i temi, mantieni attivo solamente il tema che stai utilizzando.

Richiesta di riconsiderazione a Google

Se il tuo sito web viene considerato da Google come dannoso o pericoloso è necessario effettuare una richiesta di riconsiderazione dopo aver risolto il problema.

Per effettuare questa operazione puoi seguire questa guida:

Se non sei riuscito a risolvere il problema…

Se non sei riuscito a risolvere il problema puoi:

  • Contattare un Webmaster che ti risolva il problema

Oppure

  • Attivare il servizio annuale di Imunify Security offerto da Xlogic

Scopri che cos’è Imunify Security!

Sospensione Account

Se il tuo Account verrà sospeso dovrai aprire un ticket all’assistenza richiedendo la rimozione della sospensione, dopo di che i nostri tecnici rimuoveranno l’account dalla sospensione e potrai effettuare tutte le verifiche del caso.

Il sistema sospenderà nuovamente in maniera automatica il sito web se da esso partono le emails Spam, in questo caso i nostri tecnici toglieranno nuovamente dalla sospensione l’Account ma dovrai risolvere definitivamente il problema anche perché stai mettendo a rischio la sicurezza dell’intero Server.

Nel caso l’account venisse nuovamente sospeso, i nostri tecnici potranno effettuare le seguenti operazioni:

  • Mantenere sospeso l’account
  • Resettare interamente l’account cancellando tutti i files

oppure

  • Cambiare i permessi dei files e delle cartelle in maniera tale da bloccare il Virus, in questo modo il tuo sito non sarà visibile ma comunque potrai continuare a lavorare per risolvere definitivamente il problema

 

Andrea (Xlogic.org) Leave a comment Blogging, Wordpress

I migliori plugin WordPress che rilevano i virus e malware

WordPress è uno dei più popolari sistemi di gestione dei contenuti (Content Management System – CMS) utilizzato per creare qualsiasi tipologia di siti web, dal semplice blog fino ad arrivare ad un sito e-commerce.

Il bello di WordPress è che il sistema è open source e che ci sono migliaia di plugin e temi totalmente gratuiti che ti permettono di effettuare qualsiasi operazione all’interno del tuo sito web.

Ma a volte può succedere che i plugin e temi contengano dei virus, malware all’interno ed installandoli il codice dannoso si propagherà all’interno del sito creando diversi problemi.

A volte, vengono aggiunti anche dei backlink ed un utente normale non ha idea di come affrontare questo problema.

I migliori plugin WordPress per rilevare malware e virus

I migliori plugin WordPress che rilevano i virus e malware

In questo articolo il team di Xlogic ti fornirà i migliori plugin WordPress che rilevano i virus e malware utilizzati per rimuovere i virus e lo spam dal proprio sito web.

TAC (Theme Authenticity Checker)

Questo Plugin è essenziale perché analizza il codice sorgente di ogni tema WordPress installato all’interno del tuo sito ed ha il compito di rilevare e di mostrarti i temi che hanno delle vulnerabilità, del codice sospetto o del codice dannoso, in questo modo potrai installare il tema in modo sicuro.

Wordfence

Wordfence ti permette di difendere il tuo sito web dalle minacce informatiche che fornisce la protezione in tempo reale contro gli attacchi Hacker.

Anti Malware

Anti Malware è un plugin di WordPress che può essere utilizzato per scansionare, rilevare e rimuovere virus e malware che possono essere presenti nel tuo sito Web WordPress.

Con questo plugin è possibile scegliere il modo in cui effettuare la scansione antivirus: Scansione rapida, scansione completa, scansione personalizzata, rimozione automatica dei virus.

Sucuri Security

Sucuri è un Plugin molto popolare di WordPress che svolge diverse funzioni tra cui il monitoraggio dei files caricati, la gestione delle blacklist degli indirizzi IP, le notifiche di sicurezza e molto altro.

Inoltre con Sucuri Security è possibile effettuare le scansioni antivirus ed è composto anche da un firewall che può essere attivato per proteggere il proprio sito web.

Exploit Scanner

Exploit Scanner analizza il tuo sito web effettuando una scansione completa dei files e del database permettendoti così di vedere se sono presenti dei virus / malware che dovrai rimuovere manualmente.

WP Antivirus Site Protection

Questo plugin di WordPress è molto utile per effettuare le scansioni dei temi e di ogni singolo files presente all’interno del sito web.

WP Antivirus Site Protection  effettua anche l’aggiornamento periodico del database dei virus, rimuove i malware, invia gli avvisi e le notifiche via email e molto altro.

Se sei un cliente di Xlogic Hosting…

Se sei nostro cliente puoi effettuare una scansione antivirus dal pannello di controllo di cPanel, ecco come:

Inoltre se hai bisogno di maggiore assistenza perché il tuo sito ha preso un virus o malware, ti consigliamo di attivare immediatamente il nostro servizio di sicurezza Imunify Security.

Ma a cosa serve esattamente Imunify Security? Di seguito le principali funzioni:

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica – Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Per maggiori informazioni consulta questa guida:

 

Alla prossima!

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Coding

Analisi dei Virus su WordPress – Imunify Security

Ormai da qualche anno il sistema più utilizzato per creare i siti web è senza dubbio WordPress, quindi la maggior parte dei webmaster non crea più i siti web statici tramite html e css ma utilizza sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Prestashop e molti altri.

Analisi dei Virus su WordPress – Imunify Security

La popolarità di WordPress lo rende un obiettivo primario per gli hacker che cercano in tutti i modi di bucare i siti web in maniera diretta oppure tramite dei virus / malware che inseriscono all’interno di plugin o temi.

In particolar modo sta girando un virus pericoloso e difficile da individuare che sta prendendo di mira WordPress, di conseguenza abbiamo deciso di fornirti un’analisi approfondita di questo malware e ti spieghiamo come sia possibile riuscire a rimuoverlo.

COME AGISCE UN VIRUS SU WORDPRESS

WordPress Malware mascherato

Questo malware WordPress è composto da stringhe con codifica Base64 e nomi di variabili lunghe, questo complica il codice rendendolo più difficile da analizzare.

Virus WordPress autodistruggente

Il file è progettato per autodistruggersi ed eliminarsi se una delle variabili _REQUEST ha il nome delete.

Virus WordPress: recupera i files remoti

Questo malware WordPress invia una richiesta tramite il parametro $ _REQUEST per un file aggiuntivo e come puoi vedere dal seguente codice, ha come target anche il CMS Joomla.

Anche se gli amministratori di sistema più prudenti disabilitano allow_url_fopen in php.ini, cerca comunque di recuperare il file usando curl.

Virus WordPress: cerca directory infettabili

A volte, i webmaster usano il nome di dominio di un sito come nome di directory della root principale, per esempio il dominio tuodominio.it potrebbe contenere: home/public_html/tuodominio.it

In questo caso, la Root principale viene utilizzata da questo malware WordPress per cercare di identificare le directory che possono essere infettate, questo è solo uno dei mezzi con cui questo virus WordPress cerca di identificare le directory infettabili.

Virus WordPress: inserisce il file in remoto

Dopo aver identificato le directory infettabili, questo malware WordPress utilizza la funzione di processo per consegnare il file recuperato in remoto che verifica se la directory è scrivibile e se fa parte di un CMS WordPress o Joomla

In tal caso, viene chiamato il seguente codice: inject_wordpress_main_php

Questo, a sua volta, colloca i contenuti del file recuperato in remoto in un file WordPress cruciale, come:

/wp-admin/class-wp-main.php
/wp-content/class-wp-main.php
/class-wp-main.php

Infine, la funzione di processo verifica se una parola chiave fornita con la richiesta (sotto forma di $ _REQUEST [“parola chiave”] o la parola chiave predefinita (ttmaintt) fa parte della risposta quando si accede agli URL infetti.

COME IDENTIFICARE IL VIRUS WORDPRESS

Tutti i file che abbiamo incontrato durante le nostre indagini erano associati al nome del file

wp-domain.php

 

hash

Questo malware ha utilizzato gli hash SHA256:

bc18abd55d2fc15bf8c85c49b35051943ce2d807c3ab0fadf515a8feecb0b762

 

Funzioni

Ha definito un totale di 35 funzioni:

– check_config

– is_dir_empty

– in_array_partial

– bool_to_string

– process

– is_cms

– get_search_keyword

– assert_main_php

– get_wordpress_main_content

– get_joomla_main_content

– get_main_content(

– inject_wordpress_main_php

– inject_joomla_main_php

– inject_main_php

– get_current_user_name

– get_user_domains

– remove_tld

– is_wordpress

– is_joomla

– get_dirs_recursive

– get_domains_dir

– get_valid_dirs

– could_be_domain

– get_dirs

– have_tld

– is_domain

– is_domain_partial

– get_common_dirs(

– get_tlds

– clean_domain

– not_www

– get_domain

– remove_www

– estimate_current_path

– url_get_contents

COME BLOCCARE UN VIRUS SU WORDPRESS

E’ difficile bloccare questa tipologia di malware, ad esempio anche disattivando il comando allow_url_fopen non sarai protetto perché se lo fai il malware utilizzerà il modulo curl.

Altrimenti sarebbe possibile utilizzare un firewall per bloccare tutto il traffico generato dal Web Server in modo indipendente, per assicurarsi che questo malware non riesca a recuperare il file remoto ma con questa operazione verrebbe bloccato ciò anche tutto il traffico legittimo che WordPress utilizza per le sue normali operazioni, come gli aggiornamenti.

Quindi il modo migliore per proteggersi da questo virus WordPress è seguire queste indicazioni:

  • Controlla l’integrità dei tuoi file WordPress usando strumenti come wp-cli
  • Scansiona regolarmente il tuo sito web con Antivirus
  • Evita di scaricare plugin e temi da fonti non ufficiali
  • Accedi e controlla il traffico del tuo sito Web utilizzando i registri di mod_forensics o mod_security

 

Naturalmente, se sei un cliente di Xlogic Hosting, all’interno del tuo piano è già presente oppure può essere acquistato a parte Imunify Security che ha la funzione di bloccare questo virus WordPress come moltissimi altri.

Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Imunify Security è compreso nei seguenti piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro (+ iva) l’anno.

Per maggiori informazioni puoi consultare questa pagina: Antivirus Imunify Security Xlogic

 

Alla prossima!

Andrea (Xlogic.org) 1 Comment News da Xlogic, Wordpress

Antivirus Imunify Security – Sicurezza Hosting

Imunify Security è il nuovo software di sicurezza della Xlogic che ha l’obiettivo di pulire il sito web da Malware e Virus.

In alcuni casi mantenere i software (CMS) e gli script aggiornati non serve! (ps. anche se ti consigliamo sempre di effettuare gli aggiornamenti periodici di WordPress e di effettuare sempre dei backup del sito web).

E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS ma sono scritti da sviluppatori esterni e possono contenere buchi di sicurezza o files nocivi.

Disponibile da oggi Imunify Security – Sicurezza Hosting

Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Sicurezza Hosting: Come funziona Imunify?

Rendi sicuro il tuo sito WordPress con Imunify che lo puoi trovare in cPanel, cliccando sull’icona come in figura:

Una volta cliccata l’icona si aprirà la schermata di Imunify con le seguenti colonne:

Di seguito gli stati presenti e le azioni che si possono svolgere all’interno della pagina di questo antivirus avanzato per i siti web su Xlogic Hosting:

Rilevato: visualizza l’ora esatta in cui un file è stato rilevato come dannoso

File: il percorso in cui si trova il file che inizia con root

Motivo: descrive la firma rilevata durante il processo di scansione. I nomi in questa colonna dipendono dal fornitore della firma

Stato: visualizza lo stato del file:
_ Infetto: rilevata una minaccia dopo la scansione. Se un file non è stato pulito dopo la pulizia, viene visualizzata l’icona delle informazioni. Passa il mouse sopra l’icona delle informazioni per visualizzare il motivo
_ Pulito: il file infetto viene ripulito
Content rimosso: un contenuto del file è stato rimosso dopo la pulizia
Cleanup in coda: il file infetto viene messo in coda per la pulizia

Azioni:
Aggiungi a Ignore List: aggiungi il file a Ignore List e rimuovilo dall’elenco dei file con Malware. NB. se un file viene aggiunto a Ignore List, Imunify non eseguirà più la scansione di questo file
Visualizza file: fai clic sull’icona a forma di occhio nella riga del file ed il contenuto del file verrà visualizzato nel popup. Solo i primi 100Kb del contenuto del file verranno mostrati.
Cleanup: fai clic per pulire il file infetto
Elimina: rimuove il file dal server e dall’elenco dei files dannosi
Ripristina originale: fare clic su Ripristina originale per ripristinare il file originale dopo la pulizia se il backup è disponibile. I files originali vengono conservati per 15 giorni.

Sicurezza Hosting: Qual’è il costo di Imunify Security

Antivirus Imunify Security – Sicurezza Hosting è compreso nei piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro(+ iva) l’anno.

Sicurezza Hosting: SOS WP ha parlato di noi

Anche SOS WP ha parlato del nostro antivirus per la sicurezza Hosting, se ti va puoi leggere l’intera recensione che hanno scritto su Xlogic Hosting. Recensione Xlogic: Hosting WordPress Italiano

Attiva subito Imunify Security per rendere sicuro il tuo sito web, se hai un sito in WordPress passa al nostro piano Hosting WordPress dove è inclusa l’assistenza di WP e dove è incluso questo software avanzato per la sicurezza del sito web.

 

Per qualsiasi informazioni contatta la nostra assistenza!