Come riconoscere website compromessi e come comportarsi

Spesso parliamo di minacce contro i nostri computer, come proteggersi ed eventualmente come eliminarle. Di norma ci affidiamo a firewalls ed antivirus ma pochi di noi si rendono effettivamente conto che il primo strumento di protezione contro questo tipo di rischi siamo in realtà noi stessi.

Il fattore umano, su cui si basa la stessa pratica del social engineering, è l’elemento più imprevedibile di tutti: la nostra intelligenza ed il nostro poter prestare attenzione o meno ai particolari rendono il nostro stesso computer più o meno incline ad essere bersaglio di attacchi informatici. Sia chiaro, nessuno di noi è completamente immune: a volte anche chi ha studiato computer science fa dei passi falsi o prende sotto gamba una possibile minaccia in entrata (volendo potrei fare vari esempi di falle nella sicurezza anche legate a compagnie che lavorano proprio sulla stessa). Qui, comunque, proveremo assieme a capire come essere in grado di riconoscere dei siti internet pericolosi ricordandoci che non possiamo essere perfetti e, a volte, magari per distrazione o per stanchezza, senza rendercene conto, andiamo ad infognarci in qualche pasticcio.

Ma, prima di tutto, cosa significa imbattersi in un sito compromesso? Spesso questo tipo di siti ha subito una modifica all’interno dei propri script da parte di qualche malintenzionato ed a volte nemmeno il proprietario della pagina ne è al corrente. Questi cambiamenti apportati possono essere di varia natura; per esempio, il sito internet può ridirigerci verso un’altra pagina che ci invita ad inserire i nostri dati, oppure invitarci a scaricare qualche programma, oppure ancora inizializzare un drive-by-download ovvero, un download automatico senza motivo.

SINTOMI CHE POTREBBERO DIMOSTRARE CHE IL SITO SIA INFETTO:

  • Il nostro browser (che esso sia Chrome, Firefox, Safari, Opera, Explorer, etc.) oppure il nostro antivirus blocca il sito a cui vogliamo accedere avvertendoci della sua inaffidabilità. Per esempio, l’antivirus 360 Total Security (ma anche altri come Avast o Avira, etc.) ci avverte attraverso un’icona colorata sulla nostra barra delle applicazioni
  • Il sito è stato inserito nella lista nera di Google o aggiunto in altri archivi simili. Questo significa che quando tenteremo di accedere alla pagina si aprirà una finestra che ci avvertirà di fare attenzione. Qui sotto possiamo vedere due esempi che ci avvisano della pericolosità del sito che abbiamo richiesto di aprire: Google, infatti, monitora costantemente attraverso dei sistemi automatizzati possibili attività sospette eventualmente bloccandole come mostrato sopra. 
  • Il traffico del sito è sensibilmente cambiato oppure la sua posizione su Google, o altri motori di ricerca, è scesa.
  • Il sito non funziona come si deve; presenta schermate con errori ed avvisi.
  • Dopo aver visitato un certo sito il computer stesso inizia a mostrare strani sintomi (cosa che potrebbe presentarsi anche dopo un periodo di tempo abbastanza lungo dipendentemente dal tipo di malware che il pc ha “contratto”).

Come possiamo notare dai punti appena visti l’utente dovrà, quindi, semplicemente fare attenzione, non accedere alle pagine segnalate da Google, non scaricare oppure non aprire allegati che hanno avviato un download non richiesto e, soprattutto, nel dubbio fare una bella scansione del proprio pc con un buon antivirus e, già che ci siamo, pure con Malwarebytes.

Inoltre, non dimentichiamoci la cosa più importante: controlliamo sempre di aver scritto propriamente il sito che vogliamo raggiungere senza errori di battitura perché, altrimenti, potrebbe aprirsi una copia esatta dello stesso ma creata per “catturare” e collezionare i nostri dati.

Ma, cosa fare invece se il sito che è stato bloccato e messo nella lista nera da Google è proprio il nostro? Cosa fare se, effettivamente, siamo stati noi a subire sulla nostra pagina un attacco?

COSA FARE SE IL NOSTRO SITO RISULTA INFETTO:

Questa sezione riguarda solamente i detentori di siti web e non gli utenti che lo visitano. La prima cosa da fare se, effettivamente, abbiamo scoperto che il nostro sito personale è stato attaccato è quello di metterlo offline (per farlo, normalmente, basta andare sulla pagina di amministrazione e cercare l’opzione specifica oppure utilizzare una pagina index.html vuota). Questo è di vitale importanza nel tentativo di arginare la possibilità che altri utenti vengano a contatto con il sito compromesso infettando, a loro volta, il proprio pc attraverso la nostra pagina web.

Come seconda cosa andremo a controllare i log del nostro sito per vedere se vi sono state attività sospette (/var/log/ è la directory su cui cercare). Il log, infatti, registra qualsiasi movimento nella nostra pagina. Per esempio, qualche tempo fa un amico si è accorto che il suo sito era stato “visitato” e modificato da qualcuno: controllando il suo log abbiamo scoperto che l’attacco, a quanto pareva, era stato generato da un IP cinese. Inoltre, l’accesso al nostro log permette anche di risalire al codice modificato e di comprendere il modo in cui il nostro sito è stato attaccato.

Come atto di prevenzione, inoltre, è sempre importante mantenere uno o più backup del nostro server, magari su un hardisk esterno, per poterlo ripristinare al volo e cancellare la parte infetta. Inoltre, se effettivamente abbiamo un backup pronto allora l’ideale sarebbe quello di reinstallare una copia aggiornata del software su cui correva il nostro server (CMS/CMF, e-commerce system…).

Se, invece, come spesso accade il backup non ce l’abbiamo, perché o non ci avevamo proprio pensato oppure siamo degli insostenibili pigroni, allora ci resta solamente la possibilità di effettuare una scannerizzazione con antivirus (è possibile, per esempio, scaricare il contenuto del nostro server sul nostro pc ed utilizzare l’antivirus che abbiamo installato) o siti specifici come https://sitecheck.sucuri.net/.

A questo punto potremmo aver finito ma, nel malaugurato caso in cui la scannerizzazione non abbia funzionato e non abbiamo un backup, l’unica cosa che ci resta è la rimozione manuale del codice infetto il che significa controllare ogni singolo file alla ricerca del codice infetto e rimuoverlo. Questo risulta essere non solo un processo terribilmente lungo ma anche non semplice da attuare per un principiante (in questo caso qualche base sui linguaggi di programmazione è necessaria). Non andrò, in questa sede, ad addentrarmi sulle specifiche mosse da farsi ricercando le parti di codice infetto nei vari file (HTML, PHP, JS, etc.) ma qualche dritta, in inglese, la possiamo trovare su questo link.

Altra cosa importante sarà quella di sincerarsi di aver ripulito tutti i file sul server e fatto una scannerizzazione completa di tutti i computer che sono stati utilizzati per modificare e caricare i contenuti sul server. Inoltre, non dimentichiamoci di cambiare tutte le nostre credenziali compreso login e password dei nostri server accounts.

FONTI:
https://securelist.com/analysis/publications/36534/this-site-may-harm-your-computer-how-to-recognize-and-defeat-website-infections/
http://krebsonsecurity.com/2011/05/krebss-3-basic-rules-for-online-safety/
https://www.stopbadware.org/
http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Tips_Tricks/Pagine/Rilevare_attacco_Hacker.aspx
http://www.macrowebmedia.it/weblog/sicurezza-siti-internet-e-blog-consigli-pratici/
http://www.google.it/safetycenter/everyone/start/devices/
https://developers.google.com/webmasters/hacked/
https://www.stopbadware.org/blacklisted-by-google
https://support.google.com/websearch/answer/190597?hl=en

Share the love

Comincia la discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.