Il mio sito attualmente è indicato come "sospetto" da Google, cosa devo fare?
Cosa può essere successo?
Recentemente, diversi clienti ci hanno segnalato che le pagine sui propri siti web sono stati modificati a loro insaputa. Dopo alcune indagini, i clienti hanno scoperto che il loro computer è stato infettato da uno dei tanti virus/trojan che sottraggono e trasmettono a terzi i dati di accesso salvati sul computer, incluse le password.
In alcuni casi, anche a distanza di tempo, terze parti usando i dati di accesso sottratti ai clienti possono aggiungere codice dannoso a siti autentici, e questo è il motivo alla base della visualizzazione del messaggio di avviso.
Nel dettaglio questo è il sistema di propagazione di questi virus:
- Il cliente visita una pagina Web infetta (di qualche altro sito, non del proprio sito) che carica un virus sul computer di casa/ufficio.
- Il virus esamina il computer per vedere se si utilizzano i più comuni programmi, e se è stato impostato su quei programmi il salvataggio dei dati di accesso.
- Il virus trasmette username/password del sito a un server controllato da "hacker".
- Gli hacker effettuano una connessione automatizzata allo spazio web del cliente e scaricano tutti i file HTML o PHP che trovano. Modificano i files per aggiungere codice HTML (spesso un tag "
- Il sito infettato inizia a diffondere il virus a nuove vittime.
- Nel giro di pochi giorni, il sito viene contrassegnato come dannoso o sospetto da Google ("Questo sito potrebbe danneggiare il tuo computer"), causando un crollo verticale del numero di visitatori.
Ovviamente, nessun cliente desidera che questo accada: è già abbastanza disagiante avere il proprio PC infettato da virus, e lo è ancora di più avere il proprio sito classificato come "sito web malevolo".
Sui servers abbiamo già messo in atto alcune contromisure per contrastare questo fenomeno, ma è consigliabile e necessario che il Cliente faccia la sua parte, adottando alcuni semplici accorgimenti per proteggersi al meglio da questi attacchi, come spiegato più avanti in questa FAQ.
Come rimuovere il malware dal propri PC?
La prima cosa da fare è proteggere il proprio computer da questo tipo di virus. Assicurarsi di aver aggiornato Windows e qualsiasi browser web utilizzato alla più recente versione disponibile. Assicurarsi inoltre di aver recentemente aggiornato Adobe Reader o Adobe Acrobat (che permettono al browser Web di visualizzare i file PDF), dal momento che alcuni virus si stanno diffondendo anche tramite delle vulnerabilità di sicurezza di Adobe: http://www.adobe.com/support/security/advisories/apsa09-01.html
Esegui la scansione del computer con almeno uno (e possibilmente alcuni) dei prodotti antivirus di alta qualità in circolazione.
Come rimuovere il malware dal proprio sito?
Dopo aver protetto adeguatamente il tuo computer da questo tipo di virus/trojan contattaci e richiedi il settaggio di una nuova password. A questo punto puoi intervenire sui contenuti
- Se sei certo di disporre di una copia completa ed integra dei materiali del tuo sito web puoi semplicemente accedere via FTP, cancellare tutto il materiale dalla /public e ripubblicare il materiale originale.
- Invece se non ne disponi di una copia integra o completa del materiale del tuo sito invece accedi via FTP, preleva il materiale, salvalo in una directory del tuo computer ed esegui la scansione della directory. Accertati che il software antivirus utilizzato sia in grado di identificare e rimuovere dal codice HTML anche eventuali tags
- sui servers FTP sono state disabilitate le connessioni da alcune classi IP estere, fonti dei flussi principali di attacchi;
- sono state schedulate delle scansioni antivirus periodiche dei contenuti pubblicati, che identificano e mettono in quarantena alcune delle minacce più evidenti.
I nostri sistemi di sicurezza attualmente sono in grado di identificare solo alcuni dei più comuni "IFRAME exploit"; di certo non possiamo garantire di poterli identificare tutti. E' comunque un buon inizio: in questi mesi abbiamo già rintracciato ed impedito diverse infezioni sui siti web.
Wednesday, January 16, 2013
Powered by WHMCompleteSolution