Come rimuovere un Malware dal vostro blog

By adactio - Jeremy Keith
By adactio - Jeremy Keith

Siete in panico perché avete appena scoperto di essere state attaccate da un Malware? Niente panico, questo post vi spiega come rimuovere un Malware dal vostro sito.

By adactio - Jeremy Keith
By adactio – Jeremy Keith

Tempo fa un mio blog è stato attaccato da un Malwaree la risoluzione mi ha portato via alcuni giorni visto che non mi era mai capitato e non sapevo come intervenire.

Per fortuna anche in questo caso mi è venuta incontro la Rete, e con l’aiuto dell’immancabile Google ho potuto risolvere da sola.

Che cos’è un Malware?

Ma partiamo dall’inizio chiarendo innanzitutto, per chi fosse a digiuno, cosa sia un Malware, con l’aiuto di Wikipedia:

Nella sicurezza informatica il termine malware indica genericamente un qualsiasi software creato con il solo scopo di causare danni più o meno gravi ad un computer o un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di “programma malvagio”; in italiano è detto anche codice maligno.

Se volessimo dare una faccia al Malware con un po’ di immaginazione e tornando ai tempi del glorioso Space Invaders potremmo anche vederli così:

Malware Attack

Chiedere aiuto o fare da sole?

Purtroppo attacchi come questi possono capitare spesso e non sempre si riesce a risolvere senza chiedere aiuto a terzi ma soprattutto in tempi brevi.

Se quindi non vi sentite pronte a trovare una soluzione da sole, è il caso di ricorrere all’aiuto di una persona competente che sicuramente riuscirete a trovare tramite passaparola e i cui costi potrebbero partire dai 50 euro l’ora.

Come si trasmette

Il Malware con cui mi sono scontrata io non ha attaccato direttamente me ma bensì i server su cui ho l’hosting del mio blog. È riuscito a insinuarsi e a diffondersi a causa di una vulnerabilità presente sul sistema con cui il Provider gestisce i suoi server.

Il Malware in questione quindi appartiene alla categoria dei Trojan Horse che come recita sempre Wikipedia:

Deve il suo nome al fatto che le sue funzionalità sono nascoste all’interno di un programma apparentemente utile; è dunque l’utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

Il Trojan per sua natura inietta del codice malevolo su un certo tipo di file –  la cui estensione è .js (javascript) – e invade tutti i siti/blog ospitati sui server attaccati.

Effetti indesiderati

Alcuni di questi siti/blog sono stati quindi classificati come malevoli da Google e raccolti in una vera e propria lista nera, blacklist, con un conseguente problema di visibilità per i rispettivi proprietari.

Per il mio blog il danno è stato tutto sommato ininfluente perché si tratta di uno spazio personale, ma per aziende e professionisti il danno è stato senza dubbio più pesante.

Come accertare l’infezione

Io l’ho saputo subito dopo aver ricevuto una comunicazione ufficiale dal Provider che ci avvisava del pericolo. Infatti appena ho visitato l’home page del mio blog Chrome la sostituiva con un messaggio di warning  che evidenziava un’infezione, bloccandomi così l’accesso alle pagine e chiedendomi se volevo proseguire accettando il rischio di infettare il mio Pc oppure abbandonare la navigazione.

Chrome malware alert

La conferma poi l’ho avuta da altri amici/colleghi che ho contattato con lo scopo di verificare il problema.

Accertata l’infezione è stato necessario intervenire, ma non sapevo esattamente in che modo perciò in un primo momento ho chiesto qualche dritta a un amico e poi cercando su Google ho trovato la soluzione.

Come intervenire

Ecco quindi cosa ho fatto:

Prima di tutto in situazioni come queste è necessario fare due importanti modifiche:

  1. creare un nuovo username/password per accedere in FTP al vostro spazio web (dove cioè sono ospitati tutti i file e le cartelle) e cancellare tutti gli altri utenti per evitare che le precedenti credenziali siano usate a nostra insaputa per danneggiare i nostri dati
  2. cambiare lo username/password per l’accesso al pannello di controllo del vostro Hosting visto che a causa delle suddette vulnerabilità è ormai alla mercè del Trojan e di chi lo ha iniettato

A questo punto:

    1. usare un rilevatore di Malware che faccia una scansione di tutte le cartelle contenute nel vostro blog, per esempio Sicuri SiteChek
    2. salvare o stampare il dettagliato report ottenuto con la descrizione di tutti i file e le cartelle infette, molte delle quali generalmente sono plugin e temi di WordPress
    3. navigare il blog usando vari Browser perché Firefox nel mio caso non ha rilevato alcuna infezione, mentre Explorer avviava l’antivirus MSE che evidenziava la presenza del Malware chiamato JS/BlacoleRef.BV fornendone un’accurata descrizione
    4. seguendo gli errori riportati da Sicuri  collegarsi al pannello di controllo di WordPress e cancellate i plugin che non usate o che sono infetti, ripetendo la stessa cosa con i temi
    5. collegarsi via FTP al blog ed effettuate il download dei singoli file infetti segnalati da Sicuri
    6. ripulire i file
    7. ricaricare i file in FTP
    8. rilanciare SicuriSiteCheck per una nuova scansione

Ecco un esempio del percorso in cui c’erano i file incriminati:

Malware found on javascript file:
 http://www.mioblog.xxx/(........)js/jquery/jquery.js?ver=1.7.2
Malware found on javascript file:
 http://www.mioblog.xxx(.......)plugins/wordpress-ecommerce/marketpress-includes/js/store.js?ver=2.5.1

Ci è voluto un po’ di tempo per ripulire tutto e questo procedimento ha richiesto un po’ di attenzione per evitare di cancellare pezzi di codice che invece erano necessari.

Anche a voi è capitato di imbattervi in un Malware? Com’è andata la vostra esperienza? Avete altri suggerimenti?

Di Tiziana D'Andrea

Mammablogger e scrittrice nel tempo libero. Approda sul Web 15 anni fa ma poi “deraglia“ casualmente sul Networking. Sogna di scrivere un libro e rituffarsi nel Web. Appassionata di Blogging, Social Media, Web Marketing, Web writing, Personal Branding. Gmail lover.

15 commenti

  1. Complimenti per il post. Altri suggerimenti che mi sento di aggiungere io sono, prima di tutto, fate periodicamente il backup del blog, sia dei file caricati che dell’archivio. Ci sono plugin che lo fanno in automatico tutti i giorni e che mandano tutto ad una mail o ad uno spazio in rete tipo dropbox. Se non riuscirete a rimuovere il malware potrete sempre ritornare ad una versione pulita del blog, al limite perdendo solo l’attività recente. Altra cosa che va fatta accedendo al sito in FTP è controllare i permessi dei file e delle cartelle. Spesso succede che per risolvere problemi di accesso o di funzionamento di plugin fatti male, vengano cambiati i permessi ai file ed alle cartelle, autorizzando l’accesso a tutti invece che solo all’utente proprietario delle cartelle. Questo però poi lascia aperta la porta anche a chi riesce ad accedere al server anche in aree diverse dalla nostra. La configurazione corretta dei permessi di un file dovrebbe essere 755 mentre per una cartella 644. MAI 777. E’ un concetto un po’ tecnico ma tutti i programmi per accedere in FTP ai server hanno la voce “permessi file” quindi si può verificare velocemente.

    1. @Roberto Felter: grazie innanzitutto per i complimenti ma soprattutto per gli ulteriori dettagli e consigli che hai fornito. In effetti io avevo un backup troppo vecchio e non ho potuto ripristinarlo e infatti la lezione del Malware mi è servita perché almeno ho riveduto le mie ‘procedure’ di manutenzione del blog 🙂

  2. Felter ora mi schiferà, ma quando mi sono ritrovata invasa dai link di viagra nessun plugin o scanner mi diceva esattamente dove cercare. Così ho aperto il file sorgente e ho visto dove c’erano i link e ho iniziato da lì, aprendo i file php di wordpress e l’ho trovato in header.php e in footer.php… Una volta tolto ho cambiato tutte le password di tutto, compreso mysql!

    1. Se sei riuscita a ripulire cosi, hai fatto benissimo. Solo che spesso non basta. Ad esempio se, come dicevo, hai dei file o delle cartelle con permessi a 777, cambiare password non serve a niente perchè chi riesce ad accedere ad una shell php installata sul server che ospita il tuo blog, anche con le credenziali di un altro utente (che magari è stato meno attento di te) spesso può modificare comunque anche le cose tue.

  3. Ma quindi come fare a rimuovere il proprio sito dalla blacklist una volta che ci è finito dentro? Se rimuovo il malware poi viene automaticamente aggiornato da Google o resta nella blacklist? E un’altra domanda…. come accedo in FTP al mio blog?
    Finora non mi è mai capitato niente di brutto (incrociamo le dita) ma voglio essere preparata nel caso…!

    1. Per quanto riguarda l’accesso in FTP al blog, trattandosi di un self-hosting, il fornitore di spazio mi ha dato alcuni parametri di accesso quali hostname/IP, username, password col quale posso accedere allo spazio web (come se navigassi una cartella locale del Pc per esempio) usando software come Filezilla o Cyberduck o altri ancora.

      Ho anche trovato questo video magari ti è utile a chiarire come fare, ma se si tratta di un blog ospitato su una piattaforma gratutita non credo potrai farlo.

      http://www.youtube.com/watch?v=FB6QzRZm42o

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.