Aiuto, mi hanno infettato il blog


Gentile cliente,
abbiamo verificato che il suo sito e` stato compromesso e utilizzato per inviare una grande quantita` di spam. Per questo motivo e` stato necessario disattivarlo, in attesa che sia messo in sicurezza da parte vostra.

Non e` stata fatta una analisi specifica per individuare in che modo il sito e` stato violato, ma secondo la nostra esperienza le cause sono quasi sempre:
– temi, plugin o componenti insicuri di un CMS, oppure
– password dell’area amministrativa di un CMS facilmente indovinabile

Il sito e` stato archiviato nella directory htdocs in un file .zip, che puo` scaricare normalmente con il suo client FTP.


PANICO !

Questa è parte dell’email arrivata dal servizio assistenza tophost. A quanto pare il sito era compromesso ed utilizzato per inviare spam.  La soluzione dell’assistenza è infilare qualsiasi cosa sia stata uploadata nello spazio web, cancellare gli originali e mostrare un messaggio di errore.

Una soluzione tanto drastica quanto efficace per combattere il malware.

Chi si rivolge a tophost, il servizio italiano di hosting più economico che esista, circa 12 euro all’anno, circa un euro al mese, nella maggioranza dei casi non è un esperto web designer, non è un informatico esperto di sicurezza ne tantomeno un programmatore.

Immagino che la clientela tipica di Tophost sia composta da ragazzi che hanno voglia di scrivere blog e hanno giusto le minime conoscenze necessare per utilizzare un CMS tipo WordPress, che di base è molto semplice ed alla portata di tutti.

Perciò per molti un messaggio del genere è traumatico:

—-
Le raccomandiamo di non ricaricare nello spazio web il vecchio sito, perche’ oltre alle vulnerabilita` che hanno causato l’intrusione sicuramente contiene backdoor e/o malware, sia in nuovi file che nascosti nei file dell’applicazione.
Per questo motivo e` importante che il sito sia reinstallato da zero da sorgenti certamente sicuri. Una volta reinstallato potra` recuperare dal l’archivio .zip eventuali immagini o altri file che aveva caricato nel vecchio sito.
—-


Vedersi la pagina del proprio sito bianca, con un solo rigo di errore e sentirsi dire che bisogna ricreare il sito da zero, magari ripescando un database sql utilizzanto phpMyAdmin può sembrare un’impresa non da poco.

 (continua a leggere)


Anche io inizialmente me la sono presa con Tophost (con cui posso litigare, ma di cui non farei mai a meno). Possibile che non ci fosse una soluzione meno drastica ed impattante ?

Anche io, pur con delle conoscenze informatiche sopra la media, non sono un esperto web, e non so come funzionino le cose dal lato server.

Perciò mi sono chiesto, ed ho chiesto all’assistenza senza avere risposta specifica, ma se il problema è l’invio di spam, non si potrebbe semplicemente bloccare l’invio della posta elettronica, inibendo per il sito il servizio smtp e phpmail ? 

Forse non si può agire in questo senso sul singolo sito, non lo so.

Comunque quando sei in mezzo al mare, l’unica cosa è nuotare. Quindi mi sono messo al lavoro.

E a poco a poco la rabbia si è trasferita contro i maledetti spammatori, che utilizzano malware per corrompere i siti altrui, rovinandone il lavoro. Doppiamente disonesti, prima appropriandosi dello spazio web altrui e poi utilizzandolo per truffare o perlomeno infastidire altre persone attraverso lo spam.

Certo la soluzione imposta da tophost è drastica, ma se non c’erano altre soluzioni meno impattanti era l’unica cosa da fare.

Da parte mia, verificato che effettivamente c’era del software malevolo, mi sono reso conto che le procedure di sicurezza base (password forti, cms e plugin sempre aggiornati all’ultima versione) non sono sufficienti per tenere lontano i software intrusivi.

Anche se il mio sito è tornato online, ci sono state difficoltà con un forum mybb non più riconosciuto e con tante piccole personalizzazioni al codice del tema grafico che forse sono andate perse.

Ma bisogna fare tesoro di tutte le esperienze ed in questo caso ho materiale per scrivere i prossimi articoli:

– come riconoscere che il proprio sito è infettato
– come ricreare facilmente un blog WordPress
– come difendersi dal malware e dalle intrusioni