By adactio - Jeremy Keith

Siete in panico perché avete appena scoperto di essere state attaccate da un Malware? Niente panico, questo post vi spiega come rimuovere un Malware dal vostro sito.

By adactio - Jeremy Keith

By adactio – Jeremy Keith

Tempo fa un mio blog è stato attaccato da un Malwaree la risoluzione mi ha portato via alcuni giorni visto che non mi era mai capitato e non sapevo come intervenire.

Per fortuna anche in questo caso mi è venuta incontro la Rete, e con l’aiuto dell’immancabile Google ho potuto risolvere da sola.

Che cos’è un Malware?

Ma partiamo dall’inizio chiarendo innanzitutto, per chi fosse a digiuno, cosa sia un Malware, con l’aiuto di Wikipedia:

Nella sicurezza informatica il termine malware indica genericamente un qualsiasi software creato con il solo scopo di causare danni più o meno gravi ad un computer o un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di “programma malvagio”; in italiano è detto anche codice maligno.

Se volessimo dare una faccia al Malware con un po’ di immaginazione e tornando ai tempi del glorioso Space Invaders potremmo anche vederli così:

Malware Attack

Chiedere aiuto o fare da sole?

Purtroppo attacchi come questi possono capitare spesso e non sempre si riesce a risolvere senza chiedere aiuto a terzi ma soprattutto in tempi brevi.

Se quindi non vi sentite pronte a trovare una soluzione da sole, è il caso di ricorrere all’aiuto di una persona competente che sicuramente riuscirete a trovare tramite passaparola e i cui costi potrebbero partire dai 50 euro l’ora.

Come si trasmette

Il Malware con cui mi sono scontrata io non ha attaccato direttamente me ma bensì i server su cui ho l’hosting del mio blog. È riuscito a insinuarsi e a diffondersi a causa di una vulnerabilità presente sul sistema con cui il Provider gestisce i suoi server.

Il Malware in questione quindi appartiene alla categoria dei Trojan Horse che come recita sempre Wikipedia:

Deve il suo nome al fatto che le sue funzionalità sono nascoste all’interno di un programma apparentemente utile; è dunque l’utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

Il Trojan per sua natura inietta del codice malevolo su un certo tipo di file –  la cui estensione è .js (javascript) – e invade tutti i siti/blog ospitati sui server attaccati.

Effetti indesiderati

Alcuni di questi siti/blog sono stati quindi classificati come malevoli da Google e raccolti in una vera e propria lista nera, blacklist, con un conseguente problema di visibilità per i rispettivi proprietari.

Per il mio blog il danno è stato tutto sommato ininfluente perché si tratta di uno spazio personale, ma per aziende e professionisti il danno è stato senza dubbio più pesante.

Come accertare l’infezione

Io l’ho saputo subito dopo aver ricevuto una comunicazione ufficiale dal Provider che ci avvisava del pericolo. Infatti appena ho visitato l’home page del mio blog Chrome la sostituiva con un messaggio di warning  che evidenziava un’infezione, bloccandomi così l’accesso alle pagine e chiedendomi se volevo proseguire accettando il rischio di infettare il mio Pc oppure abbandonare la navigazione.

Chrome malware alert

La conferma poi l’ho avuta da altri amici/colleghi che ho contattato con lo scopo di verificare il problema.

Accertata l’infezione è stato necessario intervenire, ma non sapevo esattamente in che modo perciò in un primo momento ho chiesto qualche dritta a un amico e poi cercando su Google ho trovato la soluzione.

Come intervenire

Ecco quindi cosa ho fatto:

Prima di tutto in situazioni come queste è necessario fare due importanti modifiche:

  1. creare un nuovo username/password per accedere in FTP al vostro spazio web (dove cioè sono ospitati tutti i file e le cartelle) e cancellare tutti gli altri utenti per evitare che le precedenti credenziali siano usate a nostra insaputa per danneggiare i nostri dati
  2. cambiare lo username/password per l’accesso al pannello di controllo del vostro Hosting visto che a causa delle suddette vulnerabilità è ormai alla mercè del Trojan e di chi lo ha iniettato

A questo punto:

    1. usare un rilevatore di Malware che faccia una scansione di tutte le cartelle contenute nel vostro blog, per esempio Sicuri SiteChek
    2. salvare o stampare il dettagliato report ottenuto con la descrizione di tutti i file e le cartelle infette, molte delle quali generalmente sono plugin e temi di WordPress
    3. navigare il blog usando vari Browser perché Firefox nel mio caso non ha rilevato alcuna infezione, mentre Explorer avviava l’antivirus MSE che evidenziava la presenza del Malware chiamato JS/BlacoleRef.BV fornendone un’accurata descrizione
    4. seguendo gli errori riportati da Sicuri  collegarsi al pannello di controllo di WordPress e cancellate i plugin che non usate o che sono infetti, ripetendo la stessa cosa con i temi
    5. collegarsi via FTP al blog ed effettuate il download dei singoli file infetti segnalati da Sicuri
    6. ripulire i file
    7. ricaricare i file in FTP
    8. rilanciare SicuriSiteCheck per una nuova scansione

Ecco un esempio del percorso in cui c’erano i file incriminati:

Malware found on javascript file:
 http://www.mioblog.xxx/(........)js/jquery/jquery.js?ver=1.7.2
Malware found on javascript file:
 http://www.mioblog.xxx(.......)plugins/wordpress-ecommerce/marketpress-includes/js/store.js?ver=2.5.1

Ci è voluto un po’ di tempo per ripulire tutto e questo procedimento ha richiesto un po’ di attenzione per evitare di cancellare pezzi di codice che invece erano necessari.

Anche a voi è capitato di imbattervi in un Malware? Com’è andata la vostra esperienza? Avete altri suggerimenti?