Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)
Pulire Pharma Hack
I pharma hack sono infezioni del sito web tra le più comuni, classificate nella categoria SEO spam. Con il pharma hack, l’attaccante sfrutta i siti web vulnerabili per distribuire pubblicità farmaceutiche ai visitatori. I sintomi di un pharma hack includono link incorporati e anchor text su pagine o annunci modificati nei risultati di ricerca dei motori (SERP).
Questi attacchi hanno più spesso bersaglio motori di ricerca come Google o Bing, nel tentativo di aumentare il traffico per le imprese farmaceutiche illegali.
Esaminare un sito disseminato di pubblicità farmaceutiche è interessante, una volta che ci si immerge nei dettagli, nelle tattiche e nelle tecniche ch enasconde. A volte una semplice pulizia rivela una più ampia strategia dell’hacker.
Di recente, nel corso di una pulizia di routine di un sito web per uno dei nostri clienti, ci siamo imbattuti in un pharma hack che sporcava la SEO prendendo di mira le SERP di Google.
Ti serve un aiuto?
chiama 339 848 3250
La doorway non cancellabile
In questo caso specifico (originariamente divulgato da Denis Sinegubko sui Labs Sucuri), identificare la radice del problema è stato semplice. Abbiamo rintracciato l’infezione di un file specifico: wp-page.php.
Inseriva una pagina di reindirizzamento verso un pharma hack (cioè, una doorway) alla radice del sito per gli utenti provenienti dai motori di ricerca.
Il payload produceva risultati simili a questo screenshot di Google SERP :

Il modo di agire era semplice – rimuovere il file eliminandolo tramite terminale o un client FTP.
Con nostra sorpresa, quando abbiamo cercato di verificare se l’iniezione era stata rimossa, era ancora lì.
Il contenuto spam ha continuato a presentarsi nella SERP.
Il primo pensiero è stato quello di pensare ad una memorizzazione nella cache. Se fosse stato cosi, avremmo capito perché lo spam era ancora visualizzato nei risultati di Google. Quando gli header hanno affermato che non era una pagina in cache, abbiamo controllato il file sul server. Infatti, il file che avevamo rimosso è tornato con una nuova data di modifica. Cosa era successo?
Abbiamo eliminato nuovamente il file. Pochi secondi dopo il file è stato ricreato. Questo comportamento è tipico di malware che utilizza cronjobs per reinfettare un sito, così abbiamo deciso di controllare il crontab dell’utente. Nulla di sospetto è stato trovato nelle cronjobs. Allora la nostra attenzione si è immediatamente spostata alla ricerca di un qualche tipo di backdoor.
Dopo un esame esaustivo, abbiamo trovato il colpevole.
Siamo giunti a un file chiamato nav.php che è stato incorporato nella directory del tema attivo. Il primo indizio è che al contenuto del file veniva aggiunto wp-page.php ogni volta che una richiesta veniva fatta da Googlebot o Bingbot.
Ecco quello che abbiamo visto:

Aggiungere wp-page.php alle richieste legittime non era il vero problema; era la rigenerazione effettiva del file. Abbiamo trovato questo stesso file non solo allegato alle richieste, ma ricreava il file (che esistesse o meno).
Ok, ci stavamo avvicinando! Avevamo solo bisogno di capire cosa eseguiva quel file nav.php.
La risposta era all’interno del file header.php del tema attivo:
<? php include ‘nav.php’ ?>
Per chi non conosce come funzionano i temi, l’attaccante ha aggiunto un include nell’header che ha caricato il file nav.php ogni volta che il tema è caricato dai visitatori.
Ora possiamo capire perché il contenuto dannoso ha continuato a comparire. L’hacker ha iniettato questa linea in header.php per fare in modo che il codice malevolo venisse eseguito ogni volta che era richiesta una pagina del sito web.
Questo viene fatto principalmente per inviare lo spam ai crawler dei motori di ricerca, ma ricrea anche il wp-page.php con funzione di “eliminare la protezione”.
Dopo aver rimosso il nav.php e l’include nell’header.php, siamo stati contenti di vedere che lo spam era sparito dalla SERP.
Pulire un sito non significa solo cancellare
Questo caso dimostra perfettamente che la pulizia di un sito non è finita una volta che i file dannosi si trovano e vengono rimossi. Dopo la pulizia iniziale, si dovrebbe sempre verificare che il malware sia scomparso completamente e continuare a monitorare il sito.
Se non lo si fa, si potrebbe consentire agli hacker di reinfettare il sito tramite un buco di sicurezza o una backdoor. La reinfezione può avvenire in pochi secondi (come si vede qui) o può richiedere giorni prima del ritorno del malware, causando un altro problema stressante.
In questo caso specifico, il monitoraggio dell’integrità dei file di base e dei file del tema avrebbe dato una grande sicurezza per il proprietario del sito. Per coloro che utilizzano WordPress, questo può essere raggiunto attraverso l’uso del plugin di sicurezza gratuito WordPress.
Inoltre, si consiglia sempre di seguire le seguenti istruzioni post-Hack dopo ogni compromissione.
Infine, se vi trovate in una posizione in cui si crede che degli hacker stiano iniettando spam nelle pagine web o SERP, potete chiedere aiuto a Sucuri.
Articolo di Tony Perez, Co-Founder & CEO at Sucuri.
E tu reputi importante la sicurezza e la performance SEO del tuo sito? chiedimi maggiori informazioni sulla sicurezza online!
Lascia un commento