Malware: come verificare un sito infetto

Malware: Introduzione

malwareNon solo i computer, ma anche i siti web possono essere vittime dei malware, software malevoli utilizzati dai pirati informatici per rubare dati o danneggiare in vari modi gli spazi su cui vengono installati.

Quando uno di questi programmi riesce a infettare un sito web, questo potrà subire danni legati non solo al livello di sicurezza, ma anche al posizionamento e, di conseguenza, alla possibilità di attrarre utenti. Laddove lo spazio virtuale fosse stato creato con finalità di marketing, il danno risultante sarebbe anche di tipo economico.

Questi aspetti fanno capire quanto sia importante tenere sotto controllo il proprio sito, assicurandosi che non subisca attacchi di hacker o cracker e, nel caso in cui fosse già stato infettato, intervenendo il prima possibile per individuare e rimuovere le minacce.

Perché i siti web sono vittime di malware

Gli utenti meno esperti potrebbero domandarsi per quale motivo un pirata informatico dovrebbe infettare un sito web che magari non registra neanche tante visite. La risposta è semplice: guadagnare in modo illegale, rubando alcuni dati degli amministratori o degli utenti, come quelli bancari, oppure modificando le pagine e dirottando i visitatori su altri siti. Può anche capitare che una riga di codice malevolo aggiunta a un sito da un cracker installi automaticamente dei virus sui computer dei visitatori, infettandoli e rubando i dati direttamente dai dispositivi.

In molti casi non è dunque il sito in sé l’obiettivo, ma i dati che esso custodisce o i visitatori; chi amministra e gestisce un sito web, ha il compito di assicurarsi che gli utenti possano navigare tra le pagine, registrarsi al sito, iscriversi a newsletter o effettuare acquisti sull’e-commerce senza correre il rischio di imbattersi in malware dannosi.

Quali siti vengono colpiti con più facilità

I siti che più facilmente possono essere vittime di attacchi informatici sono quelli che presentano un livello di sicurezza basso a causa di errori nella programmazione, password poco sicure e mancanza di aggiornamenti; questo terzo punto riguarda in particolar modo gli spazi virtuali realizzati utilizzando CMS tipo WordPress, con template precostruiti e vari tipi di plugin installati.

Il mancato aggiornamento di plugin e template, ma anche dello stesso CMS, può comportare un abbassamento del livello di sicurezza e rendere più semplice ai black hat hacker penetrare nello spazio virtuale e installare dei malware.

Come riconoscere un sito web infetto

Esistono vari modi per capire se un sito web ha subito intromissioni indesiderate ed è stato infettato da dei malware. Alcuni virus e software malevoli sono più semplici da individuare, mentre altri risultano più subdoli e potrebbero rimanere in rete per diverso tempo prima di venire scoperti.

È possibile rendersi conto se uno spazio virtuale è sotto attacco:

  • verificando le prestazioni del sito web, la sua navigabilità e altri aspetti che potrebbero subire modifiche o danneggiamenti in seguito a intromissioni esterne;
  • effettuando controlli diretti sul codice e sui file;
  • utilizzando software antivirus specifici o altri strumenti di analisi e controllo.

Ecco come procedere in base al livello di controllo scelto.

Controllare le prestazioni e le caratteristiche più visibili del sito

Questo primo livello di controllo è quello che solitamente fa scattare il campanello d’allarme anche in chi non presta particolare attenzione alla sicurezza del proprio sito web. Può infatti capitare di accorgersi per caso che qualcosa non va e, cercando le cause del problema, scoprire che si è vittime dell’attacco di un cracker.

La presenza di un malware sul sito può causare:

  • l’inaccessibilità del sito web;
  • il blocco del sito da parte dei motori di ricerca in seguito al rilevamento, da parte dei bot, di software potenzialmente dannosi per gli utenti;
  • la caduta libera del posizionamento del sito sui motori di ricerca, quando questa avviene in modo rapido e senza un motivo valido;
  • il crollo improvviso del traffico sul sito;
  • le difficoltà di caricamento delle pagine;
  • la modifica delle credenziali di accesso, non effettuata dall’amministratore dello spazio virtuale;
  • la comparsa di elementi grafici, scritte, popup o addirittura di pagine intere non inserite da chi gestisce il sito web;
  • i re-indirizzamenti verso altri siti.

In presenza di uno o più di questi problemi, è importante effettuare dei controlli approfonditi per verificare se sono causati da uno o più malware.

Controllare il codice e i file

Nel caso in cui si ritenesse di essere vittime di un attacco informatico, si potrebbe effettuare innanzitutto un controllo dei file e delle cartelle, in quanto i malware possono generare file temporanei, posizionandoli spesso nella directory principale, ma anche intere cartelle.

Chi ha dimestichezza con i codici potrebbe inoltre verificare la presenza di linee di codice sospette, magari rimandanti ad altri siti oppure scritte su un’unica linea. Talvolta i software malevoli possono essere smascherati anche dalla presenza di codice “offuscato”, ossia modificato in modo tale da divenire impossibile da decifrare.

Strumenti utili per analizzare il sito web e individuare i malware

Per individuare in modo facile e veloce virus o altri programmi dannosi per il sito web, è possibile ricorrere ad alcuni strumenti che permettono di rilevarne la presenza in modo automatico.

L’installazione sul server di software o plugin di questo tipo consente di intervenire non appena si presenta una minaccia; a seconda del programma scelto, si potrà avere un controllo costante dello spazio virtuale oppure si potranno effettuare verifiche periodiche. In alcuni casi, sfruttando un unico strumento si riuscirà anche a isolare ed eliminare definitivamente l’elemento dannoso.

Tra gli strumenti più efficaci attualmente disponibili troviamo ImunifyAV, disponibile anche nella versione plus, e Imunify360.

ImunifyAV, ImunifyAV+ e Imunify360

ImunifyAVImunifyAV è uno strumento totalmente gratuito, utilizzabile sui server Linux, che consente di rilevare qualsiasi tipo di malware conosciuto grazie alle scansioni, programmate o effettuate quando necessario. La versione base consente di rilevare la presenza di virus, ma non di rimuoverli tramite il software. Questa seconda funzione può essere implementata passando a ImunifyAV+, la versione plus a pagamento che mette a disposizione degli utenti anche un sistema per de-crittografare i codici malevoli offuscati. L’eliminazione dei file avviene in modo automatico.

Imunify360 è il software più completo della serie in quanto dotato di un firewall che blocca gli attacchi ritenuti dannosi prima che possano colpire il sito; la funzione antivirus consente di effettuare scansioni di controllo periodiche, anche programmate, e di eliminare immediatamente le minacce. Tra le altre funzioni offerte da questo software a pagamento vi sono anche il backup del sito, fondamentale per ripristinare una versione precedente non colpita da malware, e la prevenzione degli attacchi di Brute Force, disponibile anche per WordPress.

Imunify360

Su tutti i nostri piani con CPanel, tra cui i piani Hosting WordPress 03 e 04, Hosting Joomla 03 04, Hosting Professionali/Semidedicati è presente Imunify360.  Sui piani con PleskHosting WordPress 01 e 02, Hosting Joomla 01 02 è disponibile ImunifyAV.

Individuare malware su siti WordPress con WP-Cli

WP-Cli è il programma a linea di comando di WordPress, il quale consente di effettuare vari tipi di operazioni, compreso un controllo di plugin, file e codici che può aiutare a individuare la presenza di elementi sconosciuti e contenuti malevoli.

Sui piani Hosting WordPress e disponibile di default.

Credits copertina: Malware icons created by Eucalyp and Freepik – Flaticon

Scopri il Calendario dell'Avvento!

Dall’1 al 31 Dicembre ogni giorno un’offerta imperdibile.