Fare spam con installazioni malware in WordPress

Fare spam con installazioni malware in WordPress

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

E tu reputi importante la sicurezza e la performance SEO del tuo sito? chiedimi maggiori informazioni sulla sicurezza online!

Contattaci

chiama 339 848 3250

Risanando oltre 500 siti infetti al giorno, in Sucuri vedono attacchi eseguiti a diversi livelli di complessità. Le tattiche che gli aggressori usano per compromettere un sito forniscono informazioni sulle loro motivazioni.

Alcuni scrivono codice elegante per coprire con cura le loro tracce, mentre altri creano attacchi semplici che possono essere applicati in linea di massima, ma non sono ben nascosti.

Gli spammer non cessano mai nel loro tentativo di fare uso di risorse di siti compromessi, soprattutto in sistemi di black hat SEO. Nella maggior parte dei casi, le iniezioni di spam e i doorway script sono molto difficili da individuare. Questo caso però, era diverso in quanto gli aggressori non hanno messo molto impegno nel nascondere la loro presenza.

Abusare delle risorse del server

In questa indagine di spam, abbiamo analizzato un caso in cui gli attaccanti stavano hackerando sistemi informatici per trarre profitto dalla loro SEO e sfruttare risorse del server. La tecnica consiste nell’aver abusato di risorse di storage e database con l’installazione di siti WordPress spam (spam Oakley e Ray Ban nel nostro caso) nella sottodirectory del sito originale. Si sono visti esempi di questo già in passato e apparentemente la tattica sta ancora funzionando per gli spammer.

Di seguito è riportato un esempio di un sito secondario che è stato installato su un sito WordPress violato.

Black hat seo

 

A differenza di reindirizzamenti dannosi o defacement, questo tipo di hack non modifica l’aspetto del sito infetto. La tattica usata qui nasconde siti malevoli all’interno della directory del sito legittimo. Installando i loro siti di spam nelle sottodirectory, spesso evitano di essere rilevati da parte del proprietario del sito, continuando ad abusarne in termini di risorse.

I titolari di siti web che non controllano la sicurezza del proprio sito non riescono a scoprire l’attacco fino a quando sentono delle lamentele da parte dei visitatori, vengono inseriti in una blacklist, o riceve una notifica dal proprio fornitore di hosting.

Identificare Patterns

La SEO Spam sembra essere senza fine, al momento gli hacker continuano a sviluppare nuovi modi di infettare i siti.
Per combattere questo, una responsabilità critica dei team di ricerca e di bonifica è quello di identificarne i modelli.

Durante la nostra ricerca, abbiamo identificato tre somiglianze tra siti web infettati da questo tipo di iniezione.

1. Gli attaccanti aggiungono 2 directory nella root (./oakleyer e ./raybaner) con installazioni di WordPress (v4.0.12).
2. Gli aggressori hanno rubato le credenziali del database dal file wp-config.php del sito originale, e li hanno utilizzati con diversi prefissi di tabella per i siti secondari spam WordPress.
3. Ci sono stati anche quattro file specifici che hanno contribuito a automatizzare la gestione del blog ./oakleyer/wp-admin e ./raybaner/wp-admin:

  • etchk.php – verifica se vi è un post nel database con un determinato titolo.
  • etpost.php – crea o aggiorna messaggi di spam nel database.
  • etreply.php – posta commenti.
  • map.php – crea Sitemaps per i sotto-siti di spam.

 

Invece di utilizzare una API XML-RPC (Remote Procedure Call) per aggiornare i siti secondari, si vede che hanno inserito quattro file .php per automatizzare la gestione di WordPress. L’automazione della gestione blog permette agli hacker di aggiornare post e commenti su più sotto-siti di spam in una sola volta.

Utilizzare Google Search Console

per spammare il tuo sito?

Pur non essendo una esplorazione completa, un rapido controllo può essere fatto facilmente tramite Google Search Console. Se si vedono query non collegate ai nostri contenuti, c’è una forte indicazione di un hack SEO. Un altro semplice modo di capire è fare delle ricerche su Google con l’operatore [site: www.nomedominio.com cheap]. Parole chiave come “a buon mercato” (cheap) e “gratis” (free) sono spesso utilizzate da spammer. Questi sono buone prove per verificare se si sospetta che il sito sia compromesso.

In questo caso, è stato facile identificare le directory dannose nella root del sito. Le convenzioni di denominazione semplici (./oakleyer e ./raybaner) utilizzate per le directory supplementari hanno indicato chiaramente che avevamo trovato la posizione dello spam per gli occhiali da sole. Tuttavia, non è realistico controllare manualmente l’integrità dei file del sito e la struttura delle directory in modo coerente.

In realtà, molti hacker contano sul fatto che i proprietari di siti web non sono molto vigili.

Un approccio più affidabile è il controllo dell’integrità della struttura dei file del server come parte di una soluzione completa di sicurezza web.

Articolo di Fernando Barbosa, Security Analyst presso Sucuri.

Ti potrebbe interessare anche

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone.

Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici.

Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG.

Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine.

Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese.

Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

Nessun Commento

Prima di pubblicare il commento dichiaro di aver letto, compreso ed accettato la privacy policy

Pubblica commento