Molto spesso alcuni clienti ci contattano a seguito di infezioni malware nel proprio sito web, chiedendoci di intervenire e di fare in modo che questa problematica non si ripeta più.
Purtroppo il compito di rimozione e soprattutto di prevenzione di questi attacchi è a carico del proprietario del sito e non dell’hosting provider. Questo perché infezioni di questo tipo dipendono quasi esclusivamente da difetti di script o da mancati aggiornamenti di CMS o relativi plugin e componenti aggiuntivi.
La questione è molto delicata e, in questi casi, va affrontata nel più breve tempo possibile cercando una soluzione o mediante una ricerca su Google o chiedendo l’aiuto di un consulente esterno se le nostre competenze si esauriscono con il semplice aggiornamento dei contenuti del sito web.
In caso contrario, avremo sicuramente ripercussioni in termini di ranking nei motori di ricerca, saremo causa della diffusione del malware o del suo prodotto ultimo, causando enormi disagi ai visitatori del nostro sito non protetti mediante opportuni software, danneggeremo l’immagine del nostro brand a seguito della probabile chiusura del sito da parte del fornitore hosting e una serie di altre spiacevoli conseguenze.
L’analisi effettuata da Sucuri, un’azienda che si occupa di sicurezza informatica, divide i malware più comuni che interessano server e siti web in 4 famiglie distinte:
- Spam Injection
- Phishing
- Drive-By Download
- Backdoor
Analizziamo singolarmente le 4 famiglie di malware per capire meglio come intervenire.
Spam Injection
I siti colpiti da questo tipo di attacchi, solitamente mostrano all’interno delle proprie pagine web, banner pubblicitari inerenti argomenti che normalmente vengono bloccati dai provider ma soprattutto che normalmente nessun utente pubblicizzerebbe: farmaci, pornografia, prestiti più o meno leciti e via discorrendo.
L’hacker, dopo aver iniettato il malware all’interno del sito, non fa altro che guadagnare sulle commissioni, sui click o sui redirect forzati di potenziali visitatori.
Il codice utilizzato per far apparire questi contenuti sono ben realizzati, vengono posizionati in punti differenti e possono anche essere condificati sia per renderne difficoltosa la scoperta ma anche per farli sembrare porzioni di codice innocue ad esempio come parte del template o del plugin.
Ecco perché trovarli richiede molto tempo e non sempre è possibile utilizzare dei tool che possano semplificarne la rimozione.
In alcuni casi purtroppo l’unica vera soluzione a questo tipo di attacchi è utilizzare il caro buon vecchio backup. Se non hai una soluzione di questo tipo, puoi sempre valutare il nostro sistema di cloud backup.
In questo modo si ripristina la situazione a prima che il sito venisse infettato e a quel punto si può procedere, ad esempio in caso di utilizzo di CMS, verificando la disponibilità di aggiornamenti del core, del tema, dei plugin o di qualsiasi componente aggiuntivo.
Phishing
Si tratta di un’altra tecnica piuttosto nota e utilizzata spesso soprattutto per rubare i dati riservati dei visitatori dei siti colpiti (ad esempio username, password o numeri di carta di credito).
In sostanza vengono realizzate delle pagine del tutto simili (se non perfettamente identiche) a quelle di una banca o, ad esempio in Italia, a quelle delle Poste ma anche di altro genere come ad esempio Facebook, Gmail, Hotmail, Ebay e così via.
Queste pagine vengono ospitate nei siti delle vittime e nascoste opportunamente. Successivamente, mediante un invio massivo di email (leggi spam), utenti ignari vengono invitati a cliccare su questi link in modo tale da far inserire dati che in un secondo momento vengono recuperati dagli hacker di turno.
E’ chiaro che il titolare del servizio hosting nella quasi totalità dei casi, non è consapevole di questo fatto e quindi non sta certamente aiutando questi criminali a rubare i nostri dati. Però questa non è una scusante, bisogna intervenire subito ma soprattutto evitare che questo tipo di attacchi siano possibili nel nostro sito.
Drive-By Download
I Drive-By Download rappresentano uno degli attacchi più pericolosi perché permettono di infettare l’utente semplicemente navigando in un sito. Nella peggiore delle ipotesi infatti, il download del malware avviene automaticamente, senza dover cliccare o selezionare alcunché.
Nei casi più comuni invece, vedremo apparire sullo schermo dei banner o delle piccole finestre (i cosiddetti pop-up) che, o mediante un messaggio molto invitante (ad esempio la vincita di un oggetto particolarmente costoso e desiderato) oppure con l’inganno, simulando un messaggio di avviso del sistema operativo, ci inviteranno a cliccare. Questa nostra operazione non farà altro che avviare il processo di download e di installazione del malware.
Perché questo attacco è così pericoloso? Perché, a parte la possibilità di rubare dati e informazioni riservate, consentiamo all’attaccante di controllare in tutto e per tutto il nostro computer. In pratica ci sarà un esercito di computer a disposizione dell’hacker che potrà compiere operazioni illecite a sua piacimento e a sua richiesta. E’ bene ricordare però che si tratta del nostro PC!
Backdoor
Mentre alcuni tipi di malware hanno delle funzionalità specifiche, altri servono solo all’occorrenza . E’ il caso appunto delle backdoor ovvero dei punti di accesso ad una serie di computer utili al momento di sferrare attacchi ben più pesanti ed importanti come i noti DDoS (Distributed Denial of Service).
L’hacker infatti non può utilizzare un singolo punto di attacco, sia per la semplicità nel rintracciarlo in seguito, sia perché la potenza sarebbe minima. Allora prepara in anticipo la sua botnet per organizzare attività illecite che vanno dall’invio massivo di spam, alla realizzazione di reti di computer per infettare continuamente un numero enorme di siti web o come abbiamo visto all’organizzione di attacchi per la negazione del servizio di altri siti o altre reti.
Le backdoor quindi hanno il compito di fornire questi accessi necessari a controllare, su richiesta, singoli siti web o purtroppo interi server.
Come risolvere ma soprattutto come prevenire
Come già anticipato, la soluzione del problema in molti casi potrebbe non essere immediata e mediamente, richiede tempo e un minimo di esperienza tecnica. Bisogna prima effettuare un’analisi approfondita di tutto il sito e verificare la fonte del problema.
Nel caso in cui sia possibile eliminarla (in alternativa abbiamo detto che occorre utilizzare il backup più recente non infetto) bisogna procedere immediatamente alla rimozione ad esempio dei plug-in di cui non sia disponibile un aggiornamento ma soprattutto che non siano determinanti per la fruizione del nostro sito. In alternativa è meglio chiedere una consulenza al nostro fornitore hosting.
Prevenire in sostanza, consiste proprio in almeno queste semplici operazioni periodiche: tenere il più possibile aggiornati tutti gli script utilizzati e soprattutto i core dei CMS.
Non ci si può lamentare se, non anticipando la problematica, il nostro sito viene disattivato dall’hosting provider e si utilizza ancora, ad esempio, la versione 1.x di Joomla con hacker di mezzo mondo che fanno festa con il nostro sito e quello di potenziali migliaia di altri utenti.
Gestire un sito web oggi richiede tempo, conoscenze tecniche e passione. Non è più il tempo di lasciare al caso gli eventi ma soprattutto la nostra attività sul web e quindi il nostro business.
Ricordate, le infezioni di un sito web sono come un iceberg… mostrano soltanto il 10% del problema!
Lascia un commento