Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

A volte può capitare, se il sito non è aggiornato, se i plugin non sono più aggiornati o semplicemente non più supportati o se non si usano degli accorgimenti, che il sito possa essere infettato da malware/virus.

Si può utilizzare anche Maldet come indicato in questa guida.

Alcuni comandi sono eseguibili da ssh che ormai qualsiasi servizio hosting dovrebbe fornire incluso nel servizio come VHosting.

Di seguito alcuni accorgimenti per rilevale eventuale codice malevolo sul proprio sito (o su quello dei propri clienti).

I seguenti metodi sono solo indicativi e non garantiscono la pulizia al 100%. Il modo migliore di fare il check e ripulire un sito da malware è farlo manualmente o affidarsi a professionisti del settore.

Alcuni provider possono avere la funzionalità integrata per fare la scansione del sito web. In questo caso su VHosting si può utilizzare Imunify.

Basta cliccare sull’apposita icona

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Successivamente basta cliccare su “Scansione” per avviare il controllo dello spazio

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Verrà quindi eseguita la scansione di tutti i files presenti sullo spazio

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Alla fine della scansione è possibile vedere quanti file infetti sono stati trovati

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

E cliccando sulla voce “Visualizza record” vi è la possibilità di avere tutti i dettagli dei files infetti.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Controllo con wp-cli

La procedura di controllo tramite wp-cli è abbastanza semplice.  Si può fare la scansione sia sul core di wordpress che sui plugins.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Una volta fatto il login si può lancare il comando di check del core di wordpress

 

wp core verify-checksums

 

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

In questo caso non viene rilevato nulla. Si può procedere a verificare prima la lista dei plugin disponibili con il seguente comando

wp plugin list

con cui si può notare se ci sono nomi file anomali o meno. (evidenziati in giallo nello screen)

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Individuando o meno i plugin infetti/anomali si può lanciare il comando

wp plugin verify-checksums --all

per verificarne il checksum.

 

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

I plugins scaricati correttamente da wordpress.org avranno il checksum corretto e risulterà in una lista del tipo

Success: Verified 3 of 28 plugins (25 skipped).

mentre quelli che non sono possibili da verificare risulteranno con dei warning

Warning: Could not retrieve the checksums for version 1.0 of plugin dqtobud, skipping.

Warning: Could not retrieve the checksums for version 1.0 of plugin dqtobud, skipping.

E’ doveroso indicare, tuttavia, che i warning rimangono, appunto, degli avvertimenti. Bisogna fare delle verifiche più approfondite sopratutto in caso di plugin acquistati da terzi siti.

In questo caso già dal nome si può intuire che qualcosa non va ed è necessario fare un controllo più approfondito.

 

Check con comandi SSH

E’ possibile effettuare il check di eventuali file infetti utilizzando dei comandi da ssh, cercando specifici codici all’interno dei files.

I malware/virus solitamente tendono ad includere all’interno del normale codice del loro codice tramite “@include” . Basterà  lanciare il comando

grep -r --include=\*.php "@include"

 

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

In questo caso, evidenziato con scritta rossa, è stato rilevato un codice anomalo in un file index.php. Basta verificare quel file per capire se è ok o meno.

Un altro controllo che può essere fatto è la ricerca, nella cartella uploads, di files PHP e senza estensione in quanto non dovrebbero trovarsi li.

Basta lanciare, in questo caso, il comando, nella cartella “uploads” per cercare file PHP

find -name "*.php"

ed il seguente comando per trovare file senza estensione

find . -type f ! -name "*.*"

 

 

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Scansione tramite plugin

Da wordpress è possibile fare scansioni tramite plugin appositi. Uno dei più utilizzati è wordfence  .

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Una volta installato sarà possibile utilizzare la funzione di SCAN

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Basta cliccare su SCAN e poi START NEW SCAN per far avviare la modalità di scansione.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Verrà quindi avviata la scansione con il check di ciò che è installato sul sito

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

A fine scansione verrà mostrato il risultato di eventuali file infetti.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

E cliccando su “details” verrà mostrato il contenuto sospetto. Si avrà la possibilità di intervenire subito.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Un’alternativa a wordfence è WP-Cerberus. Basta scaricarlo ed attivarlo per poterlo subito usare.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Basta andare nel suo menù e cliccare su “integrità del sito” per scegliere tra una scansione rapida o completa.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Verrà quindi avviata un’analisi per la scansione

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Per poi avvisare della fine della scansione con i risultati

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Viene quindi mostrato tutto ciò che è stato controllato con i dettagli.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it

Cliccando su “trova codice malevolo” è possibile verificare cosa induce il plugin a sospettare che si tratti di codice infetto permettendo di eseguire azioni di rimozione.

Immagine della guida Come ripulire il sito infetto da malware del sito Cionfs.it