Disponibile da oggi Hack Security : virus

Tag: virus

Andrea (Xlogic.org) 1 Comment News da Xlogic, Performance e sicurezza, Tutorial

Disponibile da oggi Hack Security

Hack Security è un nuovo servizio creato dalla Xlogic per proteggere il vostro sito web.

Con il servizio Hack Security il vostro sito verrà monitorato in real time e verrà effettuata una scansione giornaliera dei files, nel caso ci fossero files infetti da Malware, sarà nostra cura metterli in quarantena.

In alcuni casi mantenere i software (CMS) e gli script aggiornati non serve. E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS, sono scritti da sviluppatori esterni e possono contenere buchi di sicurezza o files nocivi.

 

Quali sono i sintomi di un sito compromesso?

I sintomi di un sito compromesso possono essere:

– cambiamento dei contenuti

– infezione dei computer dei vostri visitatori con un virus

– invio spam a raffica con conseguente sospensione del sito da parte del provider

– cambio password CMS / cPanel

Tutto questo provoca la perdita di credibilità del sito e anche il posizionamento nei motori di ricerca ne risente e si cominciano a perdere posizioni, Google riesce ad identificare e penalizza un sito compromesso.

 

Quali sono i servizi compresi con Hack Security?

– protezione in Real Time dei files

– scansione giornaliera dei files

– controllo completo di tutti i file alla ricerca dello script dannoso, eseguito manualmente

– modifica password cPanel/Database/CMS

– ripristino permessi files/directory

 

Hack Security è compreso nei piani Hosting (Premium-Master-Hosting Mail- Hosting SemiDedicato-Hosting Dedicato) ed è opzionale per i piani Hosting (Mini-Lite-Base), può essere aggiunto in fase d’ordine per soli 50 euro all’anno.

 

Alla Prossima.

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Coding

Analisi dei Virus su WordPress – Imunify Security

Ormai da qualche anno il sistema più utilizzato per creare i siti web è senza dubbio WordPress, quindi la maggior parte dei webmaster non crea più i siti web statici tramite html e css ma utilizza sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Prestashop e molti altri.

Analisi dei Virus su WordPress – Imunify Security

La popolarità di WordPress lo rende un obiettivo primario per gli hacker che cercano in tutti i modi di bucare i siti web in maniera diretta oppure tramite dei virus / malware che inseriscono all’interno di plugin o temi.

In particolar modo sta girando un virus pericoloso e difficile da individuare che sta prendendo di mira WordPress, di conseguenza abbiamo deciso di fornirti un’analisi approfondita di questo malware e ti spieghiamo come sia possibile riuscire a rimuoverlo.

COME AGISCE UN VIRUS SU WORDPRESS

WordPress Malware mascherato

Questo malware WordPress è composto da stringhe con codifica Base64 e nomi di variabili lunghe, questo complica il codice rendendolo più difficile da analizzare.

Virus WordPress autodistruggente

Il file è progettato per autodistruggersi ed eliminarsi se una delle variabili _REQUEST ha il nome delete.

Virus WordPress: recupera i files remoti

Questo malware WordPress invia una richiesta tramite il parametro $ _REQUEST per un file aggiuntivo e come puoi vedere dal seguente codice, ha come target anche il CMS Joomla.

Anche se gli amministratori di sistema più prudenti disabilitano allow_url_fopen in php.ini, cerca comunque di recuperare il file usando curl.

Virus WordPress: cerca directory infettabili

A volte, i webmaster usano il nome di dominio di un sito come nome di directory della root principale, per esempio il dominio tuodominio.it potrebbe contenere: home/public_html/tuodominio.it

In questo caso, la Root principale viene utilizzata da questo malware WordPress per cercare di identificare le directory che possono essere infettate, questo è solo uno dei mezzi con cui questo virus WordPress cerca di identificare le directory infettabili.

Virus WordPress: inserisce il file in remoto

Dopo aver identificato le directory infettabili, questo malware WordPress utilizza la funzione di processo per consegnare il file recuperato in remoto che verifica se la directory è scrivibile e se fa parte di un CMS WordPress o Joomla

In tal caso, viene chiamato il seguente codice: inject_wordpress_main_php

Questo, a sua volta, colloca i contenuti del file recuperato in remoto in un file WordPress cruciale, come:

/wp-admin/class-wp-main.php
/wp-content/class-wp-main.php
/class-wp-main.php

Infine, la funzione di processo verifica se una parola chiave fornita con la richiesta (sotto forma di $ _REQUEST [“parola chiave”] o la parola chiave predefinita (ttmaintt) fa parte della risposta quando si accede agli URL infetti.

COME IDENTIFICARE IL VIRUS WORDPRESS

Tutti i file che abbiamo incontrato durante le nostre indagini erano associati al nome del file

wp-domain.php

 

hash

Questo malware ha utilizzato gli hash SHA256:

bc18abd55d2fc15bf8c85c49b35051943ce2d807c3ab0fadf515a8feecb0b762

 

Funzioni

Ha definito un totale di 35 funzioni:

– check_config

– is_dir_empty

– in_array_partial

– bool_to_string

– process

– is_cms

– get_search_keyword

– assert_main_php

– get_wordpress_main_content

– get_joomla_main_content

– get_main_content(

– inject_wordpress_main_php

– inject_joomla_main_php

– inject_main_php

– get_current_user_name

– get_user_domains

– remove_tld

– is_wordpress

– is_joomla

– get_dirs_recursive

– get_domains_dir

– get_valid_dirs

– could_be_domain

– get_dirs

– have_tld

– is_domain

– is_domain_partial

– get_common_dirs(

– get_tlds

– clean_domain

– not_www

– get_domain

– remove_www

– estimate_current_path

– url_get_contents

COME BLOCCARE UN VIRUS SU WORDPRESS

E’ difficile bloccare questa tipologia di malware, ad esempio anche disattivando il comando allow_url_fopen non sarai protetto perché se lo fai il malware utilizzerà il modulo curl.

Altrimenti sarebbe possibile utilizzare un firewall per bloccare tutto il traffico generato dal Web Server in modo indipendente, per assicurarsi che questo malware non riesca a recuperare il file remoto ma con questa operazione verrebbe bloccato ciò anche tutto il traffico legittimo che WordPress utilizza per le sue normali operazioni, come gli aggiornamenti.

Quindi il modo migliore per proteggersi da questo virus WordPress è seguire queste indicazioni:

  • Controlla l’integrità dei tuoi file WordPress usando strumenti come wp-cli
  • Scansiona regolarmente il tuo sito web con Antivirus
  • Evita di scaricare plugin e temi da fonti non ufficiali
  • Accedi e controlla il traffico del tuo sito Web utilizzando i registri di mod_forensics o mod_security

 

Naturalmente, se sei un cliente di Xlogic Hosting, all’interno del tuo piano è già presente oppure può essere acquistato a parte Imunify Security che ha la funzione di bloccare questo virus WordPress come moltissimi altri.

Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Imunify Security è compreso nei seguenti piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro (+ iva) l’anno.

Per maggiori informazioni puoi consultare questa pagina: Antivirus Imunify Security Xlogic

 

Alla prossima!

Andrea (Xlogic.org) 1 Comment News da Xlogic, Wordpress

Antivirus Imunify Security – Sicurezza Hosting

Imunify Security è il nuovo software di sicurezza della Xlogic che ha l’obiettivo di pulire il sito web da Malware e Virus.

In alcuni casi mantenere i software (CMS) e gli script aggiornati non serve! (ps. anche se ti consigliamo sempre di effettuare gli aggiornamenti periodici di WordPress e di effettuare sempre dei backup del sito web).

E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS ma sono scritti da sviluppatori esterni e possono contenere buchi di sicurezza o files nocivi.

Disponibile da oggi Imunify Security – Sicurezza Hosting

Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?

  • Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
  • Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
  • Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Sicurezza Hosting: Come funziona Imunify?

Rendi sicuro il tuo sito WordPress con Imunify che lo puoi trovare in cPanel, cliccando sull’icona come in figura:

Una volta cliccata l’icona si aprirà la schermata di Imunify con le seguenti colonne:

Di seguito gli stati presenti e le azioni che si possono svolgere all’interno della pagina di questo antivirus avanzato per i siti web su Xlogic Hosting:

Rilevato: visualizza l’ora esatta in cui un file è stato rilevato come dannoso

File: il percorso in cui si trova il file che inizia con root

Motivo: descrive la firma rilevata durante il processo di scansione. I nomi in questa colonna dipendono dal fornitore della firma

Stato: visualizza lo stato del file:
_ Infetto: rilevata una minaccia dopo la scansione. Se un file non è stato pulito dopo la pulizia, viene visualizzata l’icona delle informazioni. Passa il mouse sopra l’icona delle informazioni per visualizzare il motivo
_ Pulito: il file infetto viene ripulito
Content rimosso: un contenuto del file è stato rimosso dopo la pulizia
Cleanup in coda: il file infetto viene messo in coda per la pulizia

Azioni:
Aggiungi a Ignore List: aggiungi il file a Ignore List e rimuovilo dall’elenco dei file con Malware. NB. se un file viene aggiunto a Ignore List, Imunify non eseguirà più la scansione di questo file
Visualizza file: fai clic sull’icona a forma di occhio nella riga del file ed il contenuto del file verrà visualizzato nel popup. Solo i primi 100Kb del contenuto del file verranno mostrati.
Cleanup: fai clic per pulire il file infetto
Elimina: rimuove il file dal server e dall’elenco dei files dannosi
Ripristina originale: fare clic su Ripristina originale per ripristinare il file originale dopo la pulizia se il backup è disponibile. I files originali vengono conservati per 15 giorni.

Sicurezza Hosting: Qual’è il costo di Imunify Security

Antivirus Imunify Security – Sicurezza Hosting è compreso nei piani Hosting:

Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro(+ iva) l’anno.

Sicurezza Hosting: SOS WP ha parlato di noi

Anche SOS WP ha parlato del nostro antivirus per la sicurezza Hosting, se ti va puoi leggere l’intera recensione che hanno scritto su Xlogic Hosting. Recensione Xlogic: Hosting WordPress Italiano

Attiva subito Imunify Security per rendere sicuro il tuo sito web, se hai un sito in WordPress passa al nostro piano Hosting WordPress dove è inclusa l’assistenza di WP e dove è incluso questo software avanzato per la sicurezza del sito web.

 

Per qualsiasi informazioni contatta la nostra assistenza!

Andrea (Xlogic.org) Leave a comment Blogging, Joomla

I motivi più comuni per cui il tuo sito Joomla viene hackerato

Che tu abbia un blog, un sito aziendale o un sito e-commerce poco importa, perché qualsiasi sito web su Internet può essere un bersaglio per gli Hacker o comunque può essere vulnerabile.

In questo articolo ti mostreremo i motivi più comuni per cui il tuo sito Joomla viene hackerato e ti daremo dei consigli per poter risolvere il problema.

I motivi più comuni per cui il tuo sito Joomla viene hackerato

Sicurezza del sito web e del computer

Il più delle volte un sito web viene hackerato perché l’utente non inserisce una password d’accesso valida e complessa, in questo modo l’hacker è facilitato a rilevare le credenziali.

Inoltre se all’interno del proprio Computer sono presenti dei virus o malware, il sito web potrebbe venire compromesso in quanto gli hacker possono rubare tutti i cookies e le informazioni salvate all’interno del pc come le credenziali d’accesso.

Detto questo, è di fondamentale importanza effettuare almeno una volta a settimana una scansione antivirus all’interno del proprio computer e anche una scansione antivirus all’interno del proprio sito web.

Phishing

Il Phishing è un metodo che include un indirizzo mail o un sito web utilizzato dagli hacker per rubare le credenziali di accesso del tuo sito o le informazioni di pagamento.

In pratica gli hacker creano ad Hoc la struttura del sito web facendoti pensare in questo caso che un amministratore Joomla ti chiede di accedere con urgenza all’interno del tuo account, in questo modo l’hacker ti ruberà le informazioni che inserirai.

Plugin e temi vulnerabili

All’interno di Joomla è molto importante implementare il sito web con temi, plugin, widget e altri strumenti che ti permetteranno di avere una completa gestione del sito web.

Tutti questi strumenti sono molto potenti ed utili ma potrebbero venire compromessi ed utilizzati dagli hacker per accedere all’interno del sito web.

E’ molto importante aggiornare regolarmente i plugin, addons ed i temi in quanto se non aggiornati potrebbero crearsi delle falle dove l’hacker potrebbe riuscire ad accedere più facilmente.

Come faccio a capire se il mio sito Joomla è stato hackerato

A volte non è semplice capire se il proprio sito web è stato hackerato perché potrebbe succedere che non siano presenti dei veri e propri segnali, in questo caso lo potresti scoprire “grazie” al tuo Provider Hosting che ti invierà una mail avvisandoti che il tuo sito web è stato violato e che probabilmente sta inviando delle mail in Spam o in Phishing.

Invece, il più delle volte ti accorgerai che il tuo sito web è stato hackerato in base a diversi motivi:

  • Rallentamento del caricamento delle pagine del sito web
  • Apertura automatica di link esterni e annunci pubblicitari all’interno del sito web
  • Home Page modificata con la firma dell’Hacker

Moltissimi Hacker avvieranno download non autorizzati sul tuo computer o sul browser dal momento in cui il tuo sito verrà violato quindi se all’interno di una delle pagine del tuo sito web verrà automaticamente avviato il download significa che il tuo sito è stato compromesso ed è stato hackerato.

Come posso proteggere il mio sito Joomla

Prevenire è meglio che curare… detto questo è di fondamentale importanza mantenere sempre aggiornato il proprio sito web, quindi tutti i plugins, gli addons, i temi e soprattutto la versione di Joomla dovranno essere costantemente aggiornati.

Ma perché è necessario aggiornare sempre tutte le risorse? Perché gli sviluppatori Joomla rilasciano costantemente gli aggiornamenti per correggere i Bug e per rilevare le vulnerabilità di sicurezza in cui gli Hacker potrebbero tentare di sfruttare per riuscire ad accedere all’interno del sito Joomla.

Un consiglio molto efficace per mantenere il sito più sicuro è quello di non dare i permessi di scrittura a tutti i files .php, quindi in questo modo mantenere i files .php in sola lettura impedirà agli hacker di accedere all’interno del sito mediante questi files.

Gli hacker potrebbero tentare di accedere recuperando i dati della tabella del Database ed è possibile impedire questa operazione cambiando il prefisso del database delle tabelle.

E’ molto importante effettuare periodicamente un backup del sito web, in questo modo per qualsiasi problema avrai sempre la possibilità di ripristinare una copia del tuo sito funzionante.

Con Xlogic potrai effettuare il backup manualmente direttamente dal pannello di controllo di cPanel oppure potrai attivare il servizio di backup automatico, in questo modo in due semplici click potrai ripristinare il backup dell’interno sito web, dei files, delle cartelle oppure solamente di alcuni elementi scelti.

Se il tuo sito viene riconosciuto come dannoso da Google, dopo aver risolto il problema dovrai effettuare la richiesta di riconsiderazione.

Alla prossima!

Andrea Leave a comment News da Xlogic, Wordpress

Rendi sicuro WordPress con Wordfence Security

E’ estremamente importante rendere sicuro il proprio sito WordPress; per diminuire il rischio di prendere virus, malware è necessario inserire una password complessa per il proprio CMS e soprattutto è importante aggiornare sempre i plugin e temi per il semplice fatto che se non vengono aggiornati gli hacker potrebbero attaccare le versioni precedenti più vulnerabili e riuscire ad accedere al sito web.

In questo articolo lo staff di Xlogic presenterà Wordfence Security, un plugin completo e soprattutto gratuito che permette di effettuare una scansione antivirus, ha un firewall interno, un sistema per l’autenticazione via sms e molti altri tools utilissimi.

Abbiamo deciso di fornirti una guida per rendere sicuro il tuo sito WordPress; una volta installato il plugin vedrai che nella barra a sinistra di WordPress ci sarà la voce Wordfence.

1

Prima di mostrare le funzionalità di questo plugin è importante spiegarti come configurarlo al meglio:

2

 

 

 

 

 

 

 

Clicca sulla voce Options e configura la sezione Basic Options in questa modo:

2

All’interno della sezione Basic Options è possibile abilitare il Firewall, tracciare il traffico, effettuare il controllo sicurezza del login ed impostare la schedulazione automatica delle scansioni.

Oltre a questo è possibile configurare l’email presso la quale inviare eventuali alert nel caso si verificassero delle anomalie e sarà possibile definire il livello di sicurezza da utilizzare.

Dopo aver configurato le Basic Options ti consiglio di configurare le Advanced Options in questo modo:

3

4

5

6

7

Accedendo in Wordfence > Scan sarà possibile avviare una scansione antivirus:

8

Attraverso la funzionalità Live Traffic sarà possibile visualizzare gli IP che sono connessi al blog:

9

Attraverso questa funzione sarà possibile bloccare gli IP che hanno tentato di accedere al tuo sito WordPress:

ip

Mediante Country Blocking sarà possibile bloccare l’accesso al proprio sito web ad interi stati:

10

 

Oltre a questo utilissimo plugin, vi consiglio anche di leggere questi articoli:

 

Alla Prossima.