Come capire se un sito web è INFETTO.
Transcript
Come capire se un sito web è INFETTO.
Come capire se un sito web è INFETTO. Guida + Checklist Valentino Gagliardi Supporto Tecnico @ ServerManaged.it @valentinogag Photo credit: Johnson Cameraface / Foter.com / CC BY-NC-SA I siti web sono fantastici. E soprattutto utili. Ma... Che cosa accade quando Qualcuno li prende di mira? Aiuto! Il sito web è infetto!! I sintomi: Il browser segnala la presenza di malware ● Il sito sparisce dalle SERP ● Compaiono “strani” risultati nelle ricerche ● Che cosa fare quando il tuo sito è infetto? Come capire se il tuo sito è infetto? >> SCANSIONE << >> lato server, scansione diretta dei file all’interno del server >> manuale, revisione manuale dei file del sito web Scansione lato server Scansione diretta dei file all’interno del server dedicato O virtuale. Su Linux puoi usare uno o più antivirus: AVG Free per Linux ● ClamAV per Linux ● Antivirus su Linux? Certo. Approfondisci >> http://srvmg.info/XZ0dUg Scansione manuale Revisione manuale dei file del sito web alla ricerca di Elementi sospetti. Trucco: scarica tutti i file del sito sul tuo pc e fai una scansione con uno o più antivirus. Molti di essi sono in grado di rilevare un grande numero di minacce web based La diagnosi di un sito web infetto: accessi e log Devi analizzare il sistema alla ricerca di: Accessi ftp/ssh sospetti ● Evidenze dei file malevoli all'interno dei log del webserver ● [user]$ grep "gsm\.php" access.log Quando i log non bastano Non riesci a capire perchè il tuo sito è infetto? Identifica i probabili fattori di rischio: Plugin “pericolosi” Quali sono i plugin che potrebbero costituire un fattore di rischio per il tuo sito? I plugin a rischio su Wordpress Questa è una lista di plugin attivi su un sito web infetto sottoposto ad analisi. Quali sono secondo te quelli più “pericolosi”? add-from-server akismet duplicate-post google-sitemap-generator search-and-replace subscribe-to-comments-reloaded underconstruction wp-db-backup wp-slimstat wp-slimstat-shortcodes I plugin a rischio su Wordpress Questa è una lista di plugin attivi su un sito web infetto. Quali sono secondo te quelli più “pericolosi”? Add-from-server << akismet duplicate-post google-sitemap-generator search-and-replace subscribe-to-comments-reloaded underconstruction Wp-db-backup << wp-slimstat wp-slimstat-shortcodes Il plugin add-from-server Add From Server consente a grandi linee di importare file in WordPress. Un plugin di questo tipo è potenzialmente a rischio, considerando anche il fatto che la data dell’ultimo aggiornamento del plugin risale al Giugno 2011. In due anni il codice di questo plugin è diventato con buona probabilità obsoleto ed esposto a molti rischi. Il plugin wp-db-backup I plugin a rischio sono quelli che potenzialmente (potenzialmente!) potrebbero essere esposti ad una vulnerabilità perchè in qualche modo consentono di toccare dei livelli del sistema che diversamente non sono accessibili dall’esterno. Se usi plugin “critici” controlla sempre che siano aggiornati all’ultima versione e che non ci siano vulnerabilità in giro. Scoprirlo è semplice, basta cercare su Google. Non a caso per la chiave di ricerca “wp-db-backup vulnerability” i risultati sono tanti. La checklist per capire se un sito Web è infetto >> il tuo sito è lento? >> il tuo sito è sparito dalla SERP? >> il tuo sito viene bloccato da Firefox e da Chrome con un’allerta? >> il tuo sito contiene sitelink sospetti? NO >> il sito non è infetto SI >> il sito deve essere esaminato La checklist per esaminare un sito Che ritieni essere infetto >> il sito contiene componenti o plugin sospetti? >> il sito ha dei plugin vulnerabili o potenzialmente vulnerabili? >> il sito contiene file Php in wp-content/uploads? [Wordpress] >> il sito contiene moduli insoliti che non hai mai installato? [Joomla] >> il sito contiene file Php nella directory /images/stories? [Joomla] SI >> il sito deve essere ripristinato e/o bonificato NO >> il sito deve essere mantenuto sotto controllo Analisi Post-Mortem >> nei log del webserver ci sono tracce di richieste POST insolite? >> nei log del webserver ci sono tracce dell’attacco? >> ci sono stati accessi FTP dall’estero o da ip che non hai mai usato per connetterti? >> quali sono i plugin che potrebbero costituire un fattore di rischio per il tuo sito? L'analisi post-mortem ti aiuta a capire come prevenire eventi di compromissione dei siti in futuro. Approfondimenti Guida: Come capire se un sito web è infetto e come fare una diagnosi Link: http://srvmg.info/ZL2Kj8 Guida: Come capire se un sito web è infetto, una checklist Link: http://srvmg.info/100snfF Domande? Dubbi? Raggiungimi su Google Plus @105580095007257209916 O sulla mia casella di posta admin[at]servermanaged.it