Siete in panico perché avete appena scoperto di essere state attaccate da un Malware? Niente panico, questo post vi spiega come rimuovere un Malware dal vostro sito.
By adactio – Jeremy Keith
Tempo fa un mio blog è stato attaccato da un Malwaree la risoluzione mi ha portato via alcuni giorni visto che non mi era mai capitato e non sapevo come intervenire.
Per fortuna anche in questo caso mi è venuta incontro la Rete, e con l’aiuto dell’immancabile Google ho potuto risolvere da sola.
Che cos’è un Malware?
Ma partiamo dall’inizio chiarendo innanzitutto, per chi fosse a digiuno, cosa sia un Malware, con l’aiuto di Wikipedia:
Nella sicurezza informatica il termine malware indica genericamente un qualsiasi software creato con il solo scopo di causare danni più o meno gravi ad un computer o un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di “programma malvagio”; in italiano è detto anche codice maligno.
Se volessimo dare una faccia al Malware con un po’ di immaginazione e tornando ai tempi del glorioso Space Invaders potremmo anche vederli così:
Chiedere aiuto o fare da sole?
Purtroppo attacchi come questi possono capitare spesso e non sempre si riesce a risolvere senza chiedere aiuto a terzi ma soprattutto in tempi brevi.
Se quindi non vi sentite pronte a trovare una soluzione da sole, è il caso di ricorrere all’aiuto di una persona competente che sicuramente riuscirete a trovare tramite passaparola e i cui costi potrebbero partire dai 50 euro l’ora.
Come si trasmette
Il Malware con cui mi sono scontrata io non ha attaccato direttamente me ma bensì i server su cui ho l’hosting del mio blog. È riuscito a insinuarsi e a diffondersi a causa di una vulnerabilità presente sul sistema con cui il Provider gestisce i suoi server.
Il Malware in questione quindi appartiene alla categoria dei Trojan Horse che come recita sempre Wikipedia:
Deve il suo nome al fatto che le sue funzionalità sono nascoste all’interno di un programma apparentemente utile; è dunque l’utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.
Il Trojan per sua natura inietta del codice malevolo su un certo tipo di file – la cui estensione è .js (javascript) – e invade tutti i siti/blog ospitati sui server attaccati.
Effetti indesiderati
Alcuni di questi siti/blog sono stati quindi classificati come malevoli da Google e raccolti in una vera e propria lista nera, blacklist, con un conseguente problema di visibilità per i rispettivi proprietari.
Per il mio blog il danno è stato tutto sommato ininfluente perché si tratta di uno spazio personale, ma per aziende e professionisti il danno è stato senza dubbio più pesante.
Come accertare l’infezione
Io l’ho saputo subito dopo aver ricevuto una comunicazione ufficiale dal Provider che ci avvisava del pericolo. Infatti appena ho visitato l’home page del mio blog Chrome la sostituiva con un messaggio di warning che evidenziava un’infezione, bloccandomi così l’accesso alle pagine e chiedendomi se volevo proseguire accettando il rischio di infettare il mio Pc oppure abbandonare la navigazione.
La conferma poi l’ho avuta da altri amici/colleghi che ho contattato con lo scopo di verificare il problema.
Accertata l’infezione è stato necessario intervenire, ma non sapevo esattamente in che modo perciò in un primo momento ho chiesto qualche dritta a un amico e poi cercando su Google ho trovato la soluzione.
Come intervenire
Ecco quindi cosa ho fatto:
Prima di tutto in situazioni come queste è necessario fare due importanti modifiche:
- creare un nuovo username/password per accedere in FTP al vostro spazio web (dove cioè sono ospitati tutti i file e le cartelle) e cancellare tutti gli altri utenti per evitare che le precedenti credenziali siano usate a nostra insaputa per danneggiare i nostri dati
- cambiare lo username/password per l’accesso al pannello di controllo del vostro Hosting visto che a causa delle suddette vulnerabilità è ormai alla mercè del Trojan e di chi lo ha iniettato
A questo punto:
- usare un rilevatore di Malware che faccia una scansione di tutte le cartelle contenute nel vostro blog, per esempio Sicuri SiteChek
- salvare o stampare il dettagliato report ottenuto con la descrizione di tutti i file e le cartelle infette, molte delle quali generalmente sono plugin e temi di WordPress
- navigare il blog usando vari Browser perché Firefox nel mio caso non ha rilevato alcuna infezione, mentre Explorer avviava l’antivirus MSE che evidenziava la presenza del Malware chiamato JS/BlacoleRef.BV fornendone un’accurata descrizione
- seguendo gli errori riportati da Sicuri collegarsi al pannello di controllo di WordPress e cancellate i plugin che non usate o che sono infetti, ripetendo la stessa cosa con i temi
- collegarsi via FTP al blog ed effettuate il download dei singoli file infetti segnalati da Sicuri
- ripulire i file
- ricaricare i file in FTP
- rilanciare SicuriSiteCheck per una nuova scansione
Ecco un esempio del percorso in cui c’erano i file incriminati:
Malware found on javascript file: http://www.mioblog.xxx/(........)js/jquery/jquery.js?ver=1.7.2 Malware found on javascript file: http://www.mioblog.xxx(.......)plugins/wordpress-ecommerce/marketpress-includes/js/store.js?ver=2.5.1
Ci è voluto un po’ di tempo per ripulire tutto e questo procedimento ha richiesto un po’ di attenzione per evitare di cancellare pezzi di codice che invece erano necessari.
Anche a voi è capitato di imbattervi in un Malware? Com’è andata la vostra esperienza? Avete altri suggerimenti?
[Girl Geek Life] Come rimuovere un Malware dal vostro blog http://t.co/oBiDQ6BY
RT @ggdsicilia: [Girl Geek Life] Come rimuovere un Malware dal vostro blog http://t.co/FoHjYIIq
Malware: non appanicatevi. Keep calm and read @girlgeeklife http://t.co/SmtZPIsJ
Complimenti per il post. Altri suggerimenti che mi sento di aggiungere io sono, prima di tutto, fate periodicamente il backup del blog, sia dei file caricati che dell’archivio. Ci sono plugin che lo fanno in automatico tutti i giorni e che mandano tutto ad una mail o ad uno spazio in rete tipo dropbox. Se non riuscirete a rimuovere il malware potrete sempre ritornare ad una versione pulita del blog, al limite perdendo solo l’attività recente. Altra cosa che va fatta accedendo al sito in FTP è controllare i permessi dei file e delle cartelle. Spesso succede che per risolvere problemi di accesso o di funzionamento di plugin fatti male, vengano cambiati i permessi ai file ed alle cartelle, autorizzando l’accesso a tutti invece che solo all’utente proprietario delle cartelle. Questo però poi lascia aperta la porta anche a chi riesce ad accedere al server anche in aree diverse dalla nostra. La configurazione corretta dei permessi di un file dovrebbe essere 755 mentre per una cartella 644. MAI 777. E’ un concetto un po’ tecnico ma tutti i programmi per accedere in FTP ai server hanno la voce “permessi file” quindi si può verificare velocemente.
@Roberto Felter: grazie innanzitutto per i complimenti ma soprattutto per gli ulteriori dettagli e consigli che hai fornito. In effetti io avevo un backup troppo vecchio e non ho potuto ripristinarlo e infatti la lezione del Malware mi è servita perché almeno ho riveduto le mie ‘procedure’ di manutenzione del blog 🙂
RT @girlgeeklife: Come rimuovere un Malware dal vostro blog: Siete in panico perché avete appena scoperto di essere state attaccat… ht …
Come rimuovere un #Malware dal blog su Girl Geek Life http://t.co/3deSFPXK
Come rimuovere un #Malware dal blog su Girl Geek Life http://t.co/3deSFPXK http://t.co/5czYX9O1
Felter ora mi schiferà, ma quando mi sono ritrovata invasa dai link di viagra nessun plugin o scanner mi diceva esattamente dove cercare. Così ho aperto il file sorgente e ho visto dove c’erano i link e ho iniziato da lì, aprendo i file php di wordpress e l’ho trovato in header.php e in footer.php… Una volta tolto ho cambiato tutte le password di tutto, compreso mysql!
Se sei riuscita a ripulire cosi, hai fatto benissimo. Solo che spesso non basta. Ad esempio se, come dicevo, hai dei file o delle cartelle con permessi a 777, cambiare password non serve a niente perchè chi riesce ad accedere ad una shell php installata sul server che ospita il tuo blog, anche con le credenziali di un altro utente (che magari è stato meno attento di te) spesso può modificare comunque anche le cose tue.
Un plugin che può essere utile per verificare dove il malware si trovi e quali siano i file infettati è sicuramente Exploit Scanner (http://wordpress.org/extend/plugins/exploit-scanner/), che analizza sia i file sia il contenuto del data base.
Le altre cose indispensabili sono tanta pazienza e tranquillità 🙂
Emma grazie per il suggerimento del plugin lo provo subito 😉
Ma quindi come fare a rimuovere il proprio sito dalla blacklist una volta che ci è finito dentro? Se rimuovo il malware poi viene automaticamente aggiornato da Google o resta nella blacklist? E un’altra domanda…. come accedo in FTP al mio blog?
Finora non mi è mai capitato niente di brutto (incrociamo le dita) ma voglio essere preparata nel caso…!
Ciao Ely, io avevo trovato questo lungo post che credo sia molto completo. Anche se per fortuna non ne ho avuto bisogno:
http://www.websitedefender.com/web-security/get-removed-from-google-blacklist/
Per quanto riguarda l’accesso in FTP al blog, trattandosi di un self-hosting, il fornitore di spazio mi ha dato alcuni parametri di accesso quali hostname/IP, username, password col quale posso accedere allo spazio web (come se navigassi una cartella locale del Pc per esempio) usando software come Filezilla o Cyberduck o altri ancora.
Ho anche trovato questo video magari ti è utile a chiarire come fare, ma se si tratta di un blog ospitato su una piattaforma gratutita non credo potrai farlo.
http://www.youtube.com/watch?v=FB6QzRZm42o