Domini scaduti e redirect da Plugin WordPress

25 Ago Domini scaduti e redirect da Plugin WordPress

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Un reindirizzamento dannoso è uno snippet di codice utilizzato dagli aggressori con l’intento di reindirizzare i visitatori ad un altro sito; una tattica molto comune vista nei siti web compromessi.

Questi reindirizzamenti spesso portano i visitatori a subire del phishing, malware o siti pubblicitari con l’intenzione di acquisire dati sensibili, distribuire malware e backdoors o generare impressioni pubblicitarie.

Abbiamo scritto prima su come gli aggressori utilizzano domini scaduti per reindirizzare i visitatori a malware e annunci o come i domini utilizzati nei plugin abbandonati sono registrati dagli hacker. Guardiamo un po’ più da vicino a come questo possa influire sui siti web ignari.

Contattaci per informazioni

chiama 339 848 3250

Reindirizzamenti pericolosi in siti web compromessi

Gli aggressori possono creare reindirizzamenti pericolosi in diversi modi:

1. Inserimento di codice dannoso nel file .htaccess (una tecnica molto semplice ma efficace, sebbene possibile solo nei server Apache).
2. I server NGINX possono avere i propri siti reindirizzati via un file .ini.
3. I file core di CMS come WordPress o Joomla possono essere hackerati e reindirizzati utilizzando sia JS che PHP.
4. Il DNS può essere modificato e reindirizzato se un attaccante ha accesso all’area di amministrazione.
5. Se un sito web utilizza un provider di hosting condiviso, gli altri siti e le cartelle principali di tali server possono essere infettati tramite la contaminazione tra siti, causando un reindirizzamento globale.

È sempre nell’interesse di un proprietario di un sito web di rimuovere questi reindirizzamenti il ​​più rapidamente possibile per evitare perdere traffico, utenti e reputazione.

A volte la fonte dei reindirizzamenti dannosi può essere nascosta nei componenti software vulnerabili di terze parti del tuo sito web, ad esempio plugin e estensioni.

Plugin e reindirizzamenti compromessi

In un caso recente, uno dei nostri ricercatori ha individuato un plugin compromesso che ha interessato diversi siti web.

Questo plugin non era stato mantenuto per diversi anni ed è stato ospitato da un dominio scaduto, enmask.com. Una visita alla pagina plugin di WordPress riporta:

“Questo plugin non è stato aggiornato da più di 2 anni. Può non essere più mantenuto o supportato e potrebbe avere problemi di compatibilità quando viene utilizzato con versioni più recenti di WordPress. “

Ad aggravare le cose, il dominio è stato acquistato da qualcuno con intenzioni malevole. Quando l’attaccante ha acquistato il dominio scaduto, ha incluso un reindirizzamento dannoso, e non sono stati offerti aggiornamenti per risolvere il problema in quanto il plugin non era più in sviluppo. Di conseguenza, diversi siti web hanno iniziato a distribuire il contenuto dannoso.

Ad un ulteriore esame, il nostro ricercatore ha scoperto che i reindirizzamenti dannosi provengono da un file JavaScript che è stato caricato tramite il sito enmask.com. A sua volta, questo ha causato ulteriori danni al compromesso plugin di WordPress Enmask Captcha. Il plugin è stato quindi rimosso dal repository ufficiale di WordPress.

Il codice trovato nel dominio relativo al plugin includeva il seguente frammento:

Il nuovo proprietario del sito ha configurato il server che ospita il dominio per rispondere alle richieste di qualsiasi file javascript, ma ha sempre restituito il seguente javascript spam con il reindirizzamento:

Facendo clic sul sito web, gli utenti vengono reindirizzati a questa pagina parcheggiata, che è stata servita anche dal plugin compromesso:

Risoluzione dei reindirizzamenti dannosi

Se stai utilizzando il plugin Enmask Captcha, ti esortiamo fortemente a rimuoverlo e sostituirlo con un altro strumento attivamente mantenuto e supportato.

Non è consigliabile caricare immagini, script o altre risorse da siti web esterni e potenzialmente lasciare il tuo sito a rischio di distribuzione di contenuti indesiderati senza il tuo consenso.

Le vulnerabilità trovate nei temi e nei plugin più vecchi  possono essere facilmente utilizzati e per questo è importante controllare le applicazioni di terze parti utilizzate sul tuo sito web per assicurarti che siano aggiornate e mantenute.

Un sistema di monitoraggio dell’integrità dei file può anche aiutarti a tenere traccia delle modifiche nei file e ripristinare le modifiche, cosa che contribuirà ad attenuare qualsiasi impatto sul traffico e sugli utenti del tuo sito web. Il sistema di monitoraggio Sucuri esegue la scansione per le modifiche non autorizzate dei record DNS (Domain Name System) in modo da poter sapere se gli attacker reindirizzano il dominio a livello DNS.

Se il tuo sito web è stato infettato da un reindirizzamento maligno e hai bisogno di aiuto per la pulizia, siamo qui per aiutarti.

Contattaci per informazioni

chiama 339 848 3250

Articolo di Krasimir Konov, Security Analyst di Sucuri