Come recuperare da Hack malware di reindirizzamento dannoso

Pubblicato: 2022-10-18

Una delle tattiche più popolari degli aggressori dannosi consiste nell'aggiungere malware di reindirizzamento dannoso a un sito allo scopo di indirizzare il traffico verso un altro sito. Ciò può essere dannoso non solo per il proprietario del sito, ma anche per i visitatori del sito. Un reindirizzamento dannoso spesso porta un visitatore ignaro del sito a siti di spam o addirittura a siti che potrebbero infettare il computer dell'utente con malware che possono essere difficili da eliminare.

In questo post parleremo di cos'è il malware di reindirizzamento dannoso, del motivo per cui gli hacker utilizzano questa tattica, di come determinare se il tuo sito è interessato o meno da questo malware e di alcune possibili soluzioni per ripristinare il tuo sito dagli effetti di malware di reindirizzamento dannoso .

Inoltre, illustreremo alcuni passaggi importanti per garantire che il tuo sito rimanga protetto una volta ripristinato.

Che cos'è il malware di reindirizzamento dannoso?

Un reindirizzamento dannoso è un codice, solitamente Javascript, che viene inserito in un sito Web con l'intento di reindirizzare il visitatore del sito a un altro sito Web. Spesso, questo malware dannoso viene aggiunto a un sito Web WordPress da aggressori con l'intento di generare impressioni pubblicitarie su un altro sito. Tuttavia, alcuni reindirizzamenti dannosi possono avere implicazioni più gravi. Un reindirizzamento dannoso più grave può sfruttare potenziali vulnerabilità nel computer di un visitatore del sito. Questo tipo di malware mira a installare malware che infetta un personal computer con malware dannoso che può essere molto dannoso per il computer Mac o Windows di un utente.

Determinare se il tuo sito è infetto

I proprietari del sito potrebbero non essere consapevoli del fatto che il loro sito sta reindirizzando. Spesso, i reindirizzamenti dannosi vengono nascosti in modo che vengano reindirizzati solo gli utenti non autenticati (utenti che non hanno effettuato l'accesso). Oppure, potrebbe rilevare il browser che l'utente sta utilizzando quando visita il sito e reindirizzare solo con quel particolare browser. Ad esempio, se mirano a sfruttare un personal computer con malware che può infettare solo versioni vulnerabili di Chrome, verranno reindirizzati solo coloro che utilizzano quella versione rilevata dallo script dannoso. Potrebbero essere necessarie alcune indagini per determinare cosa sta succedendo.

Il proprietario di un sito potrebbe tentare di replicare il reindirizzamento segnalato da un cliente, solo per vedere che tutto sembra a posto sul proprio computer. I visitatori del sito su piattaforme mobili potrebbero allo stesso tempo sperimentare attività dannose. Il reindirizzamento potrebbe verificarsi su alcune pagine e non su altre. Oppure potrebbe accadere prima ancora che il sito venga caricato.

Hacking di reindirizzamento di WordPress

Perché il mio sito WordPress viene reindirizzato a un altro sito?

Se il tuo sito sta reindirizzando, ci sono alcuni metodi che gli aggressori possono utilizzare per creare un reindirizzamento. Naturalmente, questi possono essere tutti modi molto validi per creare un reindirizzamento, tuttavia in casi dannosi, questi non sono assolutamente nell'interesse del visitatore del sito. Ecco alcuni metodi utilizzati dagli aggressori per reindirizzare. I metodi primari di reindirizzamento includono un reindirizzamento .htaccess o un reindirizzamento Javascript. In rari casi, potresti trovare un'intestazione HTTP (ad es. META HTTP-EQUIV=REFRESH reindirizzamento), ma sono rari. In molti casi, il reindirizzamento è offuscato, il che significa che le funzioni vengono utilizzate per nascondere la vera intenzione del codice. Questo offuscamento è spesso la prima chiave che qualcosa non va, ma gli aggressori scommettono che la maggior parte dei proprietari di siti WordPress sarà intimidita dall'offuscamento e non vorrà scavare più a fondo.

Dove si trova esattamente l'infezione di reindirizzamento?

Ci sono diverse aree in cui gli hacker inseriranno il loro codice dannoso per causare un hack di reindirizzamento di WordPress.

1. File PHP

Un utente malintenzionato può infettare il tuo sito inserendo codice in uno qualsiasi dei file core di WordPress. Questi sono alcuni dei file che potrebbero contenere il codice dannoso che causa il tuo problema:

Gli aggressori possono infettare il sito Web iniettando codice in uno qualsiasi dei file principali di WordPress. Controllare questi file per codice dannoso. Se non sei sicuro di quale codice sia dannoso e cosa no, puoi sempre confrontare i file con copie note e valide del core di WordPress o con i tuoi file di temi e plug-in

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • File dei temi (wp-content/themes/{themeName}/)
    • header.php
    • funzioni.php
    • footer.php

2. File JavaScript

Alcune delle varianti del malware di reindirizzamento avranno un impatto su tutti i file JavaScript (.js) sul tuo sito. Ciò includerà i file Javascript nel plugin, nelle cartelle dei temi e in wp-includes.

E in genere, lo stesso codice dannoso verrà aggiunto nella parte superiore o inferiore di ogni file JavaScript.

3. Il file .htaccess

Il tuo file .htaccess è un insieme di direttive che dicono al tuo server web cosa fare non appena riceve una richiesta da un visitatore del sito. Si attiva prima di PHP, prima di qualsiasi chiamata al tuo database, e può rilevare alcune "variabili di ambiente" che raccontano al tuo server un po' del sistema in cui si trova un utente, come il browser, il tipo di computer e anche se la richiesta per le pagine del tuo sito proviene da un crawler dei motori di ricerca.

Se non hai familiarità con l'aspetto di un normale file .htaccess di WordPress, gran parte del codice in .htaccess può creare confusione. E, se scarichi il file .htaccess sul tuo disco rigido per dare un'occhiata più da vicino, spesso può scomparire da te con molti personal computer considerando questo tipo di file come un "file nascosto".

Il molto comune hack Pharma in cui viene aggiunto codice dannoso nel file .htaccess spesso reindirizza i visitatori del sito solo se provengono da una pagina dei risultati di un motore di ricerca.

Gli hacker posizionano il loro codice dannoso in modo che tu non possa trovarlo nascosto all'interno del file a meno che non scorri molto a destra. Questo rende molto più difficile individuare e rimuovere questi hack di reindirizzamento.

3. Il database di WordPress

Le tabelle wp_options e wp_posts sono in genere le tabelle in un database WordPress che vengono prese di mira dagli hacker che inseriscono reindirizzamenti dannosi. Il codice Javascript può essere trovato incorporato in ciascuno dei tuoi post o anche in tutti. Spesso puoi anche trovare reindirizzamenti nella tua tabella wp_options se sono nascosti nei widget.

4. File favicon.ico falsi

Esiste un malware che creerà un file .ico casuale o un file favicon.ico canaglia sul server del tuo sito, che conterrà codice PHP dannoso. Questi file .ico conterranno il reindirizzamento dannoso che viene quindi incluso in un altro file sul tuo sito.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Recupero rapido da un reindirizzamento dannoso

Se sei stato colpito da un hack di reindirizzamento dannoso, il modo più semplice e veloce per eseguire il ripristino da questo tipo di malware è ripristinare da un backup noto e valido. Se esegui backup regolari del tuo sito con BackupBuddy, allora sai di avere un backup recente che contiene una buona copia del tuo sito. Ripristinare il tuo sito da un backup noto e valido è un modo eccellente per ripristinare rapidamente il tuo sito.

Ovviamente, se gestisci un sito con contenuti che cambiano frequentemente, la migliore difesa contro un reindirizzamento dannoso è un buon backup recente e il rilevamento delle intrusioni in modo da essere avvisato rapidamente di un problema. In questo modo, puoi agire rapidamente e ridurre al minimo i tempi di fermo.

Naturalmente, è necessario rivolgersi ai registri di accesso per determinare in che modo l'hacker è entrato per posizionare anche il reindirizzamento.

Una nota sui domini aggiuntivi

Uno dei modi più comuni in cui i siti WordPress vengono violati è da domini aggiuntivi non mantenuti o installazioni aggiuntive di WordPress nel tuo account di hosting. Forse hai impostato un sito di prova per vedere se qualcosa potrebbe funzionare nello stesso account e ti sei dimenticato di quell'installazione. Un hacker lo scopre e sfrutta le vulnerabilità nel sito non mantenuto per installare malware sul tuo sito principale. O forse hai anche il sito del tuo familiare ospitato nello stesso spazio per risparmiare denaro, ma stanno riutilizzando password compromesse.

È sempre meglio avere un sito WordPress in un account di hosting oppure, se stai utilizzando più siti nello stesso account di hosting, assicurati che siano isolati l'uno dall'altro e utilizzi un utente basato su server diverso per ogni sito. In questo modo, non può verificarsi la contaminazione incrociata da un sito vulnerabile a un altro sito adiacente.

Se hai più di un sito nel tuo account di hosting, dovrai trattare tutti i siti in esecuzione nello stesso spazio (ad esempio, tutti i siti in public_html) come se fossero tutti contaminati da malware di reindirizzamento dannoso. Se hai un caso come questo, assicurati che ciascuno di questi passaggi venga eseguito per ciascuno dei siti all'interno dell'istanza di hosting. Se non sei sicuro, verifica con il tuo provider di hosting.

Scansione del tuo sito alla ricerca di malware hacker di reindirizzamento di WordPress

Se non disponi di un backup pulito recente, puoi comunque rimuovere il malware da solo. Farlo può essere un processo noioso e dovrai cercare qualcosa di più del semplice reindirizzamento del malware. È più comune che il malware di reindirizzamento sia accompagnato da altro malware, inclusi backdoor e utenti amministratori non autorizzati, e dovrai anche determinare come è entrato l'hacker, spesso chiamato "vettore di intrusione". Non adottare un approccio olistico alla rimozione del malware assicura che il problema di reindirizzamento si ripresenti.

iThemes Security Pro ha una funzione di rilevamento delle modifiche ai file che ti avviserà se si verificano modifiche ai file sul tuo sito Web, ad esempio modifiche che indicherebbero un hack di reindirizzamento o backdoor.

Ecco il nostro processo di rimozione malware consigliato.

1. Eseguire il backup del sito

Sì, anche se il sito è infetto, vorrai preservare le prove di ciò che è accaduto. Considera qualsiasi hack su una scena del crimine e vorrai sapere cosa è successo e quando. I timestamp dei file saranno utili nella tua indagine quando determini come si è verificata l'intrusione in modo da poter impedire che si ripeta.

2. Determina se è necessario rimuovere il sito

Con un reindirizzamento dannoso, potresti voler disattivare temporaneamente il tuo sito per la manutenzione. Non tutti i reindirizzamenti lo giustificherebbero, ma se il tuo sito sta reindirizzando a un luogo che potrebbe danneggiare il computer di un utente, disattivare il sito per un po' eviterebbe ulteriori danni.

Se ritieni che l'hacker possa essere ancora attivo sul sito (se non lo sai, supponi che lo sia), rimuovere il sito e renderlo inaccessibile può prevenire ulteriori danni.

Ogni situazione sarà diversa; dovrai prendere questa determinazione in base a ciò che sta accadendo.

3. Copiare il sito su un'unità locale

Conservando il backup, copia il sito su un'unità locale. Ti consigliamo di eseguire una pulizia su un'unità locale utilizzando un editor di testo e di confrontare localmente e rivedere tutti i file, dai file PHP e Javascript ai file .htaccess, in una situazione locale inaccessibile a Internet. In questo modo, hai un ambiente controllato per esaminare i file. Puoi scaricare una nuova copia di WordPress, del tuo tema e dei tuoi plug-in e confrontare i file sul tuo sito compromesso per vedere quali file sono stati modificati e quali semplicemente non appartengono. Esistono numerosi strumenti di confronto dei file che puoi utilizzare.

4. Rimuovere i reindirizzamenti e le backdoor nascoste

Mentre esamini i tuoi file, puoi sostituire i file che contengono malware con copie note e valide o, se ti senti a tuo agio nel farlo, puoi rimuovere i file che non dovrebbero essere presenti (di solito backdoor) e le righe di codice che non dovrebbe essere lì con un editor di testo.

Controlla la tua directory /wp-content/uploads e tutte le sottodirectory per i file PHP che non dovrebbero essere lì.

Alcuni file saranno diversi da qualsiasi cosa tu venga scaricato dal repository di WordPress.org. Questi file includono il tuo file .htaccess e il tuo file wp-config.php. Questi dovranno essere esaminati da vicino per qualsiasi codice dannoso errante. Entrambi possono contenere reindirizzamenti e il file wp-config.php può contenere backdoor.

5. Carica i tuoi file puliti sul tuo server

Per spazzare via tutto il malware in una volta, impedendo l'accesso a eventuali backdoor attive sul sito compromesso, carica il tuo sito pulito adiacente al tuo sito compromesso. Ad esempio, se il tuo sito hackerato è in /public_html/, carica il tuo sito pulito accanto ad esso in /public_html_clean/. Una volta lì, rinomina la directory live /public_html/ in /public_html_hacked/ e rinomina la /public_html_clean/ in public_html. Questo richiede solo pochi secondi e riduce al minimo i tempi di inattività se hai scelto di non rimuovere il tuo sito all'inizio del processo di pulizia. Ti impedisce anche di provare a ripulire un sito live hackerato sotto attacco giocando a "whack-a-mole" con un attaccante attivo.

Ora che i file sono stati puliti, hai ancora del lavoro da fare. Ricontrolla che il sito appaia a posto sul front-end, così come all'interno di wp-admin.

6. Cerca utenti amministratori dannosi

Cerca eventuali utenti amministrativi dannosi che sono stati aggiunti al tuo sito. Vai a wp-admin > utenti e ricontrolla che tutti gli utenti amministratori siano validi.

7. Modificare tutte le password amministrative

Considera tutti gli account amministratore come compromessi e imposta nuove password per tutti.

8. Proteggiti da registrazioni dannose

Vai a wp-admin> impostazioni> generale e assicurati che l'impostazione per "Iscrizione" denominata "Chiunque può registrarsi" sia disabilitata. Se hai bisogno che gli utenti si registrino, assicurati che il "Ruolo predefinito del nuovo utente" sia impostato solo su Abbonato e non su Admin o Editor.

9. Cerca nel database eventuali collegamenti dannosi

Cerca manualmente nel database di WordPress funzioni PHP dannose in modo simile a come hai fatto per trovare problemi nel file system. Per fare ciò, accedi a PHPMyAdmin o a un altro strumento di gestione del database e seleziona il database utilizzato dal tuo sito.

Quindi cerca termini come:

  • val
  • sceneggiatura
  • Gzinflate
  • Base64_decodifica
  • Str_sostituisci
  • preg_replace

Basta essere estremamente attenti prima di modificare qualsiasi cosa nel database. Anche una modifica molto piccola, come l'aggiunta accidentale di uno spazio, può far cadere il tuo sito o impedirne il caricamento corretto.

10. Proteggi il sito

Poiché si è verificata un'intrusione, devi presumere che tutto ciò che è associato al tuo sito sia stato compromesso. Modifica la password del tuo database nel pannello del tuo account di hosting e le credenziali nel tuo file wp-config.php in modo che il tuo sito WordPress possa accedere al tuo database WordPress.

Inoltre, cambia la tua password SFTP/FTP e persino la password sul tuo cPanel o account di hosting.

11. Verifica la presenza di problemi con Google

Accedi alla tua Google Search Console e verifica se hai avvisi di siti dannosi. In tal caso, esaminali per vedere se le tue correzioni hanno risolto il problema. Se è così, chiedi una recensione.

12. Installa iThemes Security

Se non hai ancora installato e configurato iThemes Security, questo è il momento migliore. iThemes Security è il modo migliore per proteggere il tuo sito da intrusioni

13. Aggiorna o rimuovi qualsiasi software vulnerabile

Se disponi di software, temi, plug-in o core che richiedono un aggiornamento, aggiornali ora. Se c'è una vulnerabilità in un plug-in che stai utilizzando che non è stato patchato (puoi verificarlo utilizzando iThemes Security), disattiva e rimuovi completamente quel software dal tuo sito.

A questo punto, se hai bloccato il tuo sito, puoi rimuovere la notifica di manutenzione per rendere nuovamente accessibile il tuo sito.

Impedisci un'altra intrusione

Una volta che il tuo sito è stato bloccato e attivo, è fondamentale adottare misure per evitare che si ripetano intrusioni. Controlla i tuoi file di registro per vedere come è avvenuta l'intrusione in primo luogo. Era un software vulnerabile? Era un account utente amministratore compromesso? Si è trattato di contaminazione incrociata da un'installazione WordPress adiacente e non mantenuta? Sapere come è avvenuta l'intrusione ti informerà di adottare misure per evitare che si ripeta in futuro.

Inoltre, l'utilizzo di iThemes Security è un primo passo importante per mantenere il tuo sito al sicuro.

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Gli aggressori presumono che gli utenti di WordPress abbiano meno conoscenze di sicurezza, quindi trovano siti WordPress che non sono protetti e sfruttano password errate, password riutilizzate o software vulnerabile per prendere piede in account di hosting ignari.

Il rapporto DBIR di Verizon per il 2022 riporta che oltre l'80% delle violazioni può essere attribuito a credenziali rubate e che si è verificato un aumento del 30% delle credenziali rubate come vettore di intrusione principale rispetto allo sfruttamento della vulnerabilità. Questo è uno dei motivi per cui iThemes Security dà la priorità alle innovazioni delle credenziali utente come passkey e autenticazione a due fattori per proteggere i siti WordPress da queste intrusioni.

Se hai visto qualcosa in questo articolo, speriamo che sia importante prendere sul serio la sicurezza PRIMA di una violazione. Puoi risparmiare innumerevoli ore di mal di testa rivedendo il codice con pochi setps. Usa BackupBuddy per rendere il ripristino molto più semplice e proteggere da accessi non autorizzati utilizzando iThemes Security Pro.

Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro