Web Marketing e Internazionalizzazione. Come capire se il tuo business può funzionare all'estero.
Come capire se un sito web è infetto e come fare una diagnosi
-
Upload
valentino-gagliardi -
Category
Technology
-
view
2.491 -
download
0
description
Transcript of Come capire se un sito web è infetto e come fare una diagnosi
![Page 1: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/1.jpg)
Come capire se un sito web èINFETTO.
Guida +Checklist
Photo credit: Johnson Cameraface / Foter.com / CC BY-NC-SA
Valentino GagliardiSupporto Tecnico @ ServerManaged.it@valentinogag
![Page 2: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/2.jpg)
I siti web sono fantastici.E soprattutto utili. Ma...
Che cosa accade quandoQualcuno li prende di mira?
![Page 3: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/3.jpg)
Aiuto! Il sito web è infetto!!
I sintomi:
● Il browser segnala la presenza di malware● Il sito sparisce dalle SERP● Compaiono “strani” risultati nelle ricerche
![Page 4: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/4.jpg)
Che cosa fare quando il tuo sito è infetto?Come capire se il tuo sito è infetto?
>> SCANSIONE <<
>> lato server, scansione diretta dei fileall’interno del server
>> manuale, revisione manuale dei file del sito web
![Page 5: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/5.jpg)
Scansione lato server
Scansione diretta dei file all’interno del server dedicatoO virtuale. Su Linux puoi usare uno o più antivirus:
● AVG Free per Linux● ClamAV per Linux
Antivirus su Linux? Certo.Approfondisci >> http://srvmg.info/XZ0dUg
![Page 6: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/6.jpg)
Scansione manuale
Revisione manuale dei file del sito web alla ricerca diElementi sospetti.
Trucco: scarica tutti i file del sito sul tuo pc efai una scansione con uno o più antivirus. Molti di essi sono in grado di rilevare ungrande numero di minacce web based
![Page 7: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/7.jpg)
La diagnosi di un sito web infetto: accessi e log
Devi analizzare il sistema alla ricerca di:
● Accessi ftp/ssh sospetti● Evidenze dei file malevoli all'interno dei log
del webserver
[user]$ grep "gsm\.php" access.log
![Page 8: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/8.jpg)
Quando i log non bastano
Non riesci a capire perchè il tuo sito è infetto?
Identifica i probabili fattori di rischio:
Plugin “pericolosi”
Quali sono i plugin che potrebberocostituire un fattore di rischio per il tuo sito?
![Page 9: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/9.jpg)
I plugin a rischio su Wordpress
Questa è una lista di plugin attivi su un sito web infetto sottoposto ad analisi. Quali sono secondo te quelli più “pericolosi”?
add-from-serverakismetduplicate-postgoogle-sitemap-generatorsearch-and-replacesubscribe-to-comments-reloadedunderconstructionwp-db-backupwp-slimstatwp-slimstat-shortcodes
![Page 10: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/10.jpg)
I plugin a rischio su Wordpress
Questa è una lista di plugin attivi su un sito web infetto. Quali sono secondo te quelli più “pericolosi”?
Add-from-server <<akismetduplicate-postgoogle-sitemap-generatorsearch-and-replacesubscribe-to-comments-reloadedunderconstructionWp-db-backup <<wp-slimstatwp-slimstat-shortcodes
![Page 11: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/11.jpg)
Il plugin add-from-server
Add From Server consente a grandi linee di importare filein WordPress.
Un plugin di questo tipo è potenzialmente a rischio, considerando anche il fatto che la data dell’ultimoaggiornamento del plugin risale al Giugno 2011.
In due anni il codice di questo plugin è diventatocon buona probabilità obsoleto ed esposto a molti rischi.
![Page 12: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/12.jpg)
Il plugin wp-db-backup
I plugin a rischio sono quelli che potenzialmente(potenzialmente!) potrebbero essere esposti ad una vulnerabilità perchè in qualche modo consentono di toccare dei livelli del sistema che diversamente non sonoaccessibili dall’esterno.
Se usi plugin “critici” controlla sempre che sianoaggiornati all’ultima versione e che non ci siano vulnerabilitàin giro. Scoprirlo è semplice, basta cercare su Google. Non a caso per la chiave di ricerca “wp-db-backup vulnerability” i risultati sono tanti.
![Page 13: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/13.jpg)
La checklist per capire se un sitoWeb è infetto
>> il tuo sito è lento?
>> il tuo sito è sparito dalla SERP?
>> il tuo sito viene bloccato da Firefox e da Chrome con un’allerta?
>> il tuo sito contiene sitelink sospetti?
NO >> il sito non è infettoSI >> il sito deve essere esaminato
![Page 14: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/14.jpg)
La checklist per esaminare un sitoChe ritieni essere infetto>> il sito contiene componenti o plugin sospetti?
>> il sito ha dei plugin vulnerabili o potenzialmente vulnerabili?
>> il sito contiene file Php in wp-content/uploads? [Wordpress]
>> il sito contiene moduli insoliti che non hai mai installato? [Joomla]
>> il sito contiene file Php nella directory /images/stories? [Joomla]
SI >> il sito deve essere ripristinato e/o bonificato
NO >> il sito deve essere mantenuto sotto controllo
![Page 15: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/15.jpg)
Analisi Post-Mortem>> nei log del webserver ci sono tracce di richieste POST insolite?
>> nei log del webserver ci sono tracce dell’attacco?
>> ci sono stati accessi FTP dall’estero o da ipche non hai mai usato per connetterti?
>> quali sono i plugin che potrebbero costituireun fattore di rischio per il tuo sito?
L'analisi post-mortem ti aiuta a capire come prevenire eventidi compromissione dei siti in futuro.
![Page 16: Come capire se un sito web è infetto e come fare una diagnosi](https://reader035.fdocuments.net/reader035/viewer/2022081907/54b77ab44a795938168b45e3/html5/thumbnails/16.jpg)
Approfondimenti
Guida: Come capire se un sito web è infetto e come fare una diagnosiLink: http://srvmg.info/ZL2Kj8
Guida: Come capire se un sito web è infetto, una checklistLink: http://srvmg.info/100snfF
Domande? Dubbi?
Raggiungimi su Google Plus @105580095007257209916O sulla mia casella di posta admin[at]servermanaged.it