Pulire un Pharma Hack nel tuo sito WordPress

wordpress pulire pharma hack

Pulire un Pharma Hack nel tuo sito WordPress

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Pulire Pharma Hack

I pharma hack sono infezioni del sito web tra le più comuni, classificate nella categoria spam SEO. Con il pharma hack, l’attaccante sfrutta i siti web vulnerabili per distribuire pubblicità farmaceutiche ai visitatori. I sintomi di un pharma hack includono link incorporati e anchor text su pagine o annunci modificati nei risultati di ricerca dei motori (SERP).

Questi attacchi hanno più spesso bersaglio motori di ricerca come Google o Bing, nel tentativo di aumentare il traffico per le imprese farmaceutiche illegali.

Esaminare un sito disseminato di pubblicità farmaceutiche è interessante, una volta che ci si immerge nei dettagli, nelle tattiche e nelle tecniche ch enasconde. A volte una semplice pulizia rivela una più ampia strategia dell’hacker.

Di recente, nel corso di una pulizia di routine di un sito web per uno dei nostri clienti, ci siamo imbattuti in un pharma hack che sporcava la SEO prendendo di mira le SERP di Google.

Ti serve un aiuto?

chiama 339 848 3250

La doorway non cancellabile

In questo caso specifico (originariamente divulgato da Denis Sinegubko sui Labs Sucuri), identificare la radice del problema è stato semplice. Abbiamo rintracciato l’infezione di un file specifico: wp-page.php.

Inseriva una pagina di reindirizzamento verso un pharma hack (cioè, una doorway) alla radice del sito per gli utenti provenienti dai motori di ricerca.

Il payload produceva risultati simili a questo screenshot di Google SERP :

Pharma Hack in un sito WordPress

Pharma Hack in un sito WordPress

Il modo di agire era semplice – rimuovere il file eliminandolo tramite terminale o un client FTP.
Con nostra sorpresa, quando abbiamo cercato di verificare se l’iniezione era stata rimossa, era ancora lì.
Il contenuto spam ha continuato a presentarsi nella SERP.

Il primo pensiero è stato quello di pensare ad una memorizzazione nella cache. Se fosse stato cosi, avremmo capito perché lo spam era ancora visualizzato nei risultati di Google. Quando gli header hanno affermato che non era una pagina in cache, abbiamo controllato il file sul server. Infatti, il file che avevamo rimosso è tornato con una nuova data di modifica. Cosa era successo?

Abbiamo eliminato nuovamente il file. Pochi secondi dopo il file è stato ricreato. Questo comportamento è tipico di malware che utilizza cronjobs per reinfettare un sito, così abbiamo deciso di controllare il crontab dell’utente. Nulla di sospetto è stato trovato nelle cronjobs. Allora la nostra attenzione si è immediatamente spostata alla ricerca di un qualche tipo di backdoor.

Dopo un esame esaustivo, abbiamo trovato il colpevole.

Siamo giunti a un file chiamato nav.php che è stato incorporato nella directory del tema attivo. Il primo indizio è che al contenuto del file veniva aggiunto wp-page.php ogni volta che una richiesta veniva fatta da Googlebot o Bingbot.

Ecco quello che abbiamo visto:

doorway pharma hack

doorway pharma hack

Aggiungere wp-page.php alle richieste legittime non era il vero problema; era la rigenerazione effettiva del file. Abbiamo trovato questo stesso file non solo allegato alle richieste, ma ricreava il file (che esistesse o meno).

Ok, ci  stavamo avvicinando! Avevamo solo bisogno di capire cosa eseguiva quel file nav.php.

La risposta era all’interno del file header.php del tema attivo:

<? php include ‘nav.php’ ?>

Per chi non conosce come funzionano i temi, l’attaccante ha aggiunto un include nell’header che ha caricato il file nav.php ogni volta che il tema è caricato dai visitatori.

Ora possiamo capire perché il contenuto dannoso ha continuato a comparire. L’hacker ha iniettato questa linea in header.php per fare in modo che il codice malevolo venisse eseguito ogni volta che era richiesta una pagina del sito web.

Questo viene fatto principalmente per inviare lo spam ai crawler dei motori di ricerca, ma ricrea anche il wp-page.php con funzione di “eliminare la protezione”.
Dopo aver rimosso il nav.php e l’include nell’header.php, siamo stati contenti di vedere che lo spam era sparito dalla SERP.

Pulire un sito non significa solo cancellare

Questo caso dimostra perfettamente che la pulizia di un sito non è finita una volta che i file dannosi si trovano e vengono rimossi. Dopo la pulizia iniziale, si dovrebbe sempre verificare che il malware sia scomparso completamente e continuare a monitorare il sito.

Se non lo si fa, si potrebbe consentire agli hacker di reinfettare il sito tramite un buco di sicurezza o una backdoor. La reinfezione può avvenire in pochi secondi (come si vede qui) o può richiedere giorni prima del ritorno del malware, causando un altro problema stressante.

In questo caso specifico, il monitoraggio dell’integrità dei file di base e dei file del tema avrebbe dato una grande sicurezza per il proprietario del sito. Per coloro che utilizzano WordPress, questo può essere raggiunto attraverso l’uso del plugin di sicurezza gratuito WordPress.

Inoltre, si consiglia sempre di seguire le seguenti istruzioni post-Hack dopo ogni compromissione.

Infine, se vi trovate in una posizione in cui si crede che degli hacker stiano iniettando spam nelle pagine web o SERP, potete chiedere aiuto a Sucuri.

Articolo di Tony Perez, Co-Founder & CEO at Sucuri.

E tu reputi importante la sicurezza e la performance SEO del tuo sito? chiedimi maggiori informazioni sulla sicurezza online!

Contattaci

Email *

Cosa vuoi realizzare? *

Contatto telefonico

Ipotesi di spesa *

* Acconsento al trattamento dei dati personali per comunicazioni di natura commerciale dopo aver letto e compreso l' informativa sulla privacy

* campi richiesti

Ti potrebbe interessare anche

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone.

Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici.

Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG.

Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine.

Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese.

Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

2 Commenti
  • Michele Zava
    Scritto alle 13:29h, 01 settembre Rispondi

    Articolo molto interessante. Vorrei aprire un dibattito essendomi imbattuto in questo genere di attacco (tecnicamente risolto) su un sito da me gestito.

    Come è noto l’attacco in questione crea una rete di link (backlink) che puntano al sito attaccato (assieme a molti altri siti talora della stessa società di hosting) e genera contenuti spammanti che tramite tecniche di cloaking sono visibili solo ai motori di ricerca e non agli utenti.

    Da varie discussioni anche ufficiali la compromissione del sito se clermente risolta non dovrebbe comportare un calo nel ranking, purtroppo la realtà e ben altra.

    Vorrei sapere sapere se qualcuno può confermare questa mia tesi.

    • Fedegrafia
      Scritto alle 16:56h, 04 settembre Rispondi

      Ciao Michele,
      quanto descritto nell’articolo (sito colpito da malware con creazione di contenuti spam) è diverso da caso che tu riporti (sito colpito da baclink da siti spam).
      Ad ogni modo, a mio parere, l’intensità dell’effetto dipende molto da che valore diamo alla parola celermente (spesso passano anche settimane prima che il proprietario del sito si accorga del fatto), dalla quantità di backlink e grado di “spammosità” del sito da cui partono i link.

Prima di pubblicare il commento dichiaro di aver letto, compreso ed accettato la privacy policy

Pubblica commento