Protezione contro i virus che rubano le password
Il mio sito attualmente è indicato come "sospetto" da Google, cosa devo fare?
Cosa può essere successo?
Recentemente, diversi clienti ci hanno segnalato che le pagine sui propri siti web sono stati modificati a loro insaputa. Dopo alcune indagini, i clienti hanno scoperto che il loro computer è stato infettato da uno dei tanti virus/trojan che sottraggono e trasmettono a terzi i dati di accesso salvati sul computer, incluse le password.
In alcuni casi, anche a distanza di tempo, terze parti usando i dati di accesso sottratti ai clienti possono aggiungere codice dannoso a siti autentici, e questo è il motivo alla base della visualizzazione del messaggio di avviso.
Nel dettaglio questo è il sistema di propagazione di questi virus:
- Il cliente visita una pagina Web infetta (di qualche altro sito, non del proprio sito) che carica un virus sul computer di casa/ufficio.
- Il virus esamina il computer per vedere se si utilizzano i più comuni programmi, e se è stato impostato su quei programmi il salvataggio dei dati di accesso.
- Il virus trasmette username/password del sito a un server controllato da "hacker".
- Gli hacker effettuano una connessione automatizzata allo spazio web del cliente e scaricano tutti i file HTML o PHP che trovano. Modificano i files per aggiungere codice HTML (spesso un tag "<IFRAME>) che diffonde il virus, quindi caricano nuovamente i file modificati sul vostro spazio web.
- Il sito infettato inizia a diffondere il virus a nuove vittime.
- Nel giro di pochi giorni, il sito viene contrassegnato come dannoso o sospetto da Google ("Questo sito potrebbe danneggiare il tuo computer"), causando un crollo verticale del numero di visitatori.
Ovviamente, nessun cliente desidera che questo accada: è già abbastanza disagiante avere il proprio PC infettato da virus, e lo è ancora di più avere il proprio sito classificato come "sito web malevolo".
Sui servers abbiamo già messo in atto alcune contromisure per contrastare questo fenomeno, ma è consigliabile e necessario che il Cliente faccia la sua parte, adottando alcuni semplici accorgimenti per proteggersi al meglio da questi attacchi, come spiegato più avanti in questa FAQ.
Come rimuovere il malware dal propri PC?
La prima cosa da fare è proteggere il proprio computer da questo tipo di virus. Assicurarsi di aver aggiornato Windows e qualsiasi browser web utilizzato alla più recente versione disponibile. Assicurarsi inoltre di aver recentemente aggiornato Adobe Reader o Adobe Acrobat (che permettono al browser Web di visualizzare i file PDF), dal momento che alcuni virus si stanno diffondendo anche tramite delle vulnerabilità di sicurezza di Adobe: http://www.adobe.com/support/security/advisories/apsa09-01.html
Esegui la scansione del computer con almeno uno (e possibilmente alcuni) dei prodotti antivirus di alta qualità in circolazione.
Come rimuovere il malware dal proprio sito?
Dopo aver protetto adeguatamente il tuo computer da questo tipo di virus/trojan contattaci e richiedi il settaggio di una nuova password. A questo punto puoi intervenire sui contenuti
- Se sei certo di disporre di una copia completa ed integra dei materiali del tuo sito web puoi semplicemente accedere via FTP, cancellare tutto il materiale dalla /public e ripubblicare il materiale originale.
- Invece se non ne disponi di una copia integra o completa del materiale del tuo sito invece accedi via FTP, preleva il materiale, salvalo in una directory del tuo computer ed esegui la scansione della directory. Accertati che il software antivirus utilizzato sia in grado di identificare e rimuovere dal codice HTML anche eventuali tags <IFRAME> malevoli, che richiamano contenuti esterni dannosi.
Hai già rimosso il codice dannoso dal tuo sito ma Google lo segnala ancora come sospetto?
Chiedi a Google di riesaminare il tuo sito, seguendo la procedura indicata dal motore di ricerca.
Come chiedere il riesame del sito da parte di Google per rimuovere l'avviso di "sito sospetto"?
Se sei il proprietario di questo sito web, puoi chiedere che il tuo sito venga riesaminato utilizzando gli Strumenti per i Webmaster di Google: http://www.google.com/webmasters/tools/
Per ulteriori informazioni sul processo di revisione, consulta il Centro assistenza per webmaster di Google.
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
Non potete bloccare voi questo tipo di attacchi?
Purtroppo no: i provider dei servizi di hosting non hanno la possibilità tecnica di identificare e prevenire la perdita dei dati di accesso FTP, nel momento in cui ad essere colpite sono le postazioni/computer dei clienti. Inoltre data la mole e la varietà dei contenuti pubblicati dai clienti ed il loro continuo aggiornamento è impossibile rilevare pro-attivamente la pubblicazione di materiali potenzialmente dannosi. C'e' infine da considerare che in taluni casi i contenuti malevoli possono essere semplicemente dei tags HTML che consentono di includere e/o visualizzare contenuto malevolo esterno (es. tramite <IFRAME>), Javascript, etc. Questo tipo di fenomeno tecnicamente è assai difficile da identificare: i materiali alterati sono pubblicati via FTP con dati di accesso validi, con modalità del tutto identiche a quelle adottate dai clienti per i normali aggiornamenti delle loro pagine web. Ciò nonostante tutte le precauzioni per evitare il dilagare del fenomeno sono state vagliate e messe in atto, per tutelare la sicurezza dei nostri clienti.
Queste sono alcune delle contromisure che abbiamo già adottato server-side:
- sui servers FTP sono state disabilitate le connessioni da alcune classi IP estere, fonti dei flussi principali di attacchi;
- sono state schedulate delle scansioni antivirus periodiche dei contenuti pubblicati, che identificano e mettono in quarantena alcune delle minacce più evidenti.
I nostri sistemi di sicurezza attualmente sono in grado di identificare solo alcuni dei più comuni "IFRAME exploit"; di certo non possiamo garantire di poterli identificare tutti. E' comunque un buon inizio: in questi mesi abbiamo già rintracciato ed impedito diverse infezioni sui siti web