Ripulisci e gestisci il sito

Requisiti:

  • Accesso come amministratore di shell/terminale ai server del tuo sito: Web, database, file
  • Conoscenza dei comandi di shell/terminale
  • Conoscenza del codice (come PHP o JavaScript)
  • Spazio di archiviazione per la creazione di copie di backup del tuo sito (inclusi file, database, immagini e così via)

Prossime operazioni:

In questo passaggio verranno trattati diversi argomenti: 

  • Dove individuare risorse aggiuntive se ritieni che l'intenzione dell'hacker fosse ottenere informazioni personali degli utenti (ad esempio, con le pagine di phishing)
  • Opzione per l'utilizzo di Rimuovi URL in Search Console per velocizzare la rimozione di URL indesiderati creati dall'hacker come completamente nuovi, visibili agli utenti, ma che desideri non vengano mostrati nei risultati della Ricerca Google
  • Opzione per l'utilizzo di Visualizza come Google in Search Console per velocizzare l'elaborazione da parte di Google delle pagine pulite, ossia pagine completamente nuove o aggiornate di recente, che desideri vengano mostrate nei risultati della Ricerca Google
  • Installazione della versione più recente e sicura del software
  • Rimozione di applicazioni o plug-in superflui o inutilizzati che in futuro potrebbero aumentare la vulnerabilità del tuo sito
  • Ripristino dei contenuti non compromessi ed eliminazione dei contenuti dell'hacker
  • Risoluzione dell'origine principale della vulnerabilità sfruttata dall'hacker
  • Modifica di tutte le password
  • Pianificazione per mantenere sicuro il tuo sito

1. Individua risorse di assistenza quando si verifica la perdita di informazioni riservate come, ad esempio, con le pagine di phishing

Se dal tuo sito sono state ricavate informazioni riservate sugli utenti (ad esempio, come conseguenza di un attacco di phishing), prima di iniziare a ripulire il sito o eliminare eventuali file, potrebbe essere opportuno valutare le eventuali responsabilità aziendali, normative o legali. Nei casi di phishing, antiphishing.org offre utili risorse come, ad esempio, il documento What to do if you your site has been hacked by phishers (Cosa fare se il tuo sito ha subito un attacco di phishing).

2. Valuta l'ipotesi di accelerare la rimozione dei nuovi URL creati dall'hacker

Se l'hacker ha creato URL completamente nuovi e visibili agli utenti, puoi rimuovere queste pagine più velocemente dai risultati della Ricerca Google utilizzando la funzione Rimuovi URL in Search Console. Questa operazione è assolutamente facoltativa. Se elimini le pagine e configuri il server in modo che restituisca un codice di stato 404, con il passare del tempo le pagine verranno gradualmente escluse dall'indice di Google.

  • La decisione di utilizzare la rimozione degli URL dipenderà da quante pagine nuove indesiderate sono state create (potrebbe essere difficoltoso inserire un numero eccessivo di pagine in Rimuovi URL), oltre che dall'entità del danno che queste pagine potrebbero provocare agli utenti. Per impedire definitivamente che le pagine inserite per la rimozione degli URL vengano mostrate nei risultati di ricerca, assicurati che anche le pagine siano configurate in modo tale da restituire una risposta 404 File non trovato per gli URL indesiderati/rimossi.
  • Non utilizzare questo strumento per richiedere la rimozione di pagine precedentemente integre e che sono state solo danneggiate dall'hacker, poiché, una volta ripulite, potresti desiderare che vengano mostrate nuovamente nei risultati di ricerca. La funzione di rimozione degli URL è indicata solo per le pagine che non vuoi mai più mostrare nei risultati.

3. Valuta l'ipotesi di accelerare l'elaborazione delle pagine pulite da parte di Google

Se disponi di pagine pulite nuove o aggiornate, puoi utilizzare la funzione Visualizza come Google in Search Console per inviare queste pagine all'indice di Google. Questa operazione è assolutamente facoltativa. Se la ignori, le pagine nuove o modificate verranno probabilmente sottoposte a scansione ed elaborate in futuro.

4. Avvia la pulizia dei server

A questo punto, puoi iniziare a pulire il sito in base agli appunti che hai preso durante i passaggi Valuta il danno e Identifica la vulnerabilità. Il percorso da seguire in questo passaggio dipende dal tipo di copia di backup a tua disposizione.

  • Copia di backup pulita e aggiornata
  • Copia di backup pulita, ma obsoleta
  • Nessuna copia di backup disponibile   

Innanzitutto, verifica che la copia di backup sia stata creata prima che il tuo sito fosse compromesso.

  • Copia di backup pulita e aggiornata
    1. Ripristina la copia di backup.
    2. Installa eventuali upgrade, aggiornamenti o patch disponibili per il software del sistema operativo (se gestisci tu il server) e di tutte le applicazioni come, ad esempio, il sistema di gestione dei contenuti, la piattaforma di e-commerce, i plug-in, i modelli e così via.
    3. Valuta se è possibile eliminare software dal server (ad esempio, widget, plug-in o applicazioni) che il sito non utilizza più.
    4. Correggi la vulnerabilità.
    5. Assicurati che tutti i problemi rilevati durante il passaggio Valuta il danno siano stati risolti.
    6. Modifica di nuovo le password di tutti gli account correlati al sito (ad esempio, le credenziali di accesso al sito FTP e al database, degli amministratori di sistema e degli account CMS). Nei sistemi basati su Unix:
      $passwd admin1
  • Copia di backup pulita, ma obsoleta
    1. Crea un'immagine del disco del tuo sito attuale, anche se è ancora infetto. Questa copia è solo per sicurezza. Contrassegna la copia come infetta per distinguerla dalle altre. In un sistema basato su Unix, l'immagine del disco creata potrebbe essere:
      $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9
        > /mirror/full-backup-20120125-infected.gz
    2. Crea una copia di backup del file system del server, immagini e file multimediali inclusi. Crea una copia di backup anche del database, se ne hai uno.
      $tar -pczf full-backup-20120125-infected.tar.gz www/ $ mysqldump -u root
        -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
    3. Ripristina la copia di backup pulita ma obsoleta sul server.
    4. Valuta se è possibile eliminare software dal server (ad esempio, widget, plug-in o applicazioni) che il sito non utilizza più.
    5. Aggiorna tutto il software, compreso il sistema operativo (se controlli il server) e tutte le applicazioni software quali, ad esempio, il sistema di gestione dei contenuti, la piattaforma di e-commerce, i plug-in, i modelli e così via. Assicurati di installare gli aggiornamenti e le patch di sicurezza disponibili.
    6. Correggi la vulnerabilità.
    7. Esegui un diff del sito, manuale o automatico, tra la copia di backup pulita e la copia aggiornata infetta.
      $diff -qr www/ backups/full-backup-20120124/
    8. Carica nuovi contenuti puliti che desideri preservare dalla copia infetta sul server aggiornato.
      $rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
    9. Verifica che ognuno degli URL annotati al passaggio Valuta il danno sia stato corretto.
    10. Modifica di nuovo le password di tutti gli account correlati al sito (ad esempio, le credenziali di accesso al sito FTP e al database, degli amministratori di sistema e degli account CMS). Nei sistemi basati su Unix:
      $passwd admin1
  • Nessuna copia di backup disponibile
    1. Esegui due copie di backup del tuo sito anche se è ancora infetto. Avendo una copia di backup in più, è più facile recuperare contenuti cancellati accidentalmente o eseguire un ripristino e riprovare in caso di errori. Contrassegna ogni copia di backup come "infetta" come riferimento per il futuro.
      • Una delle copie di backup sarà un'immagine del disco o "versione clone" del tuo sito. Questo formato semplifica ulteriormente il ripristino di contenuti. Puoi conservare l'immagine del disco per i casi di emergenza. In un sistema basato su Unix, l'immagine del disco creata potrebbe essere:
        $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 >
          /mirror/full-backup-20120125-infected.gz
      • L'altra copia di backup sarà una copia del file system del server, completa di immagini e file multimediali. Se disponi di un database, esegui il backup anche del database.
        $tar -pczf full-backup-20120125-infected.tar.gz www/
         
        $mysqldump -u root -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
      • Se non disponi di un'immagine del disco, crea due copie di backup del database e due del file system.
    2. Ripulisci i contenuti del sito sulla nuova copia di backup del file system (non sul server stesso).
      1. Se l'indagine precedente ha riscontrato autorizzazioni per i file troppo permissive, procedi a correggerle. Assicurati di eseguire questa operazione sulla copia di backup, non sul server stesso.
      2. Inoltre, nella copia di backup, pulisci tutti i file corrispondenti agli URL individuati come compromessi al passaggio Valuta il danno. Questi possono essere file di configurazione del server, JavaScript, HTML, PHP.
      3. Assicurati di rimuovere anche la pubblicazione di risposta 404 per i nuovi file creati dall'hacker, a prescindere dal fatto che tu li abbia inoltrati utilizzando lo strumento di rimozione degli URL in Search Console.
      4. Correggi la vulnerabilità, se presente nel tuo codice o nelle password decifrate. Le librerie di convalida dell'input o le verifiche di sicurezza possono essere utili.
      5. Se il tuo sito ha un database, inizia a ripulire i record modificati dall'hacker nella copia di backup. Prima di concludere l'operazione, esegui un controllo di integrità su altri record per assicurarti che siano puliti.
      6. Modifica di nuovo le password di tutti gli account correlati al sito (ad esempio, le credenziali di accesso al sito FTP e al database, degli amministratori di sistema e degli account CMS). Nei sistemi basati su Unix:
        $passwd admin1
      7. A questo punto, la copia di backup del sito precedentemente infetta dovrebbe contenere solo dati puliti. Conserva questa copia pulita e procedi con l'operazione numero 5.

5. Elimina il software inutile

Valuta se è possibile eliminare software dal server (ad esempio, widget, plug-in o applicazioni) che il sito non utilizza più. In questo modo, puoi aumentare la sicurezza e semplificare la manutenzione futura.

6. Ripulisci tutti i server

  1. Esegui una nuova installazione, anziché solo un upgrade. Gli aggiornamenti possono lasciare file da una versione precedente. Se un file infetto rimane sul server, è più probabile che si verifichi un altro attacco informatico.
    • La nuova installazione deve includere il sistema operativo (se controlli il server) e tutte le applicazioni software quali, ad esempio, il sistema di gestione dei contenuti, la piattaforma di e-commerce, i plug-in, i modelli e così via. Assicurati di installare gli aggiornamenti e le patch di sicurezza disponibili.
  2. Trasferisci i contenuti in buono stato dalla copia di backup pulita del file system ai server appena installati. Carica o ripristina solo i file o il database sicuramente puliti. Assicurati di mantenere le autorizzazioni dei file appropriate e di non sovrascrivere i file di sistema appena installati.
  3. Modifica un'ultima volta le password di tutti gli account correlati al sito (ad esempio, le credenziali di accesso al sito FTP e al database, degli amministratori di sistema e degli account CMS). Nei sistemi basati su Unix:
    $passwd admin1

7. Crea un piano di manutenzione a lungo termine

Sul Web sono disponibili numerose fonti di informazioni per una manutenzione sicura dei siti, come Preventing badware: basics (Prevenire badware: nozioni di base) di StopBadware. Inoltre, ti consigliamo vivamente di eseguire le seguenti operazioni:

  • Esegui regolarmente una copia automatica di backup del sito.
  • Preoccupati di mantenere sempre aggiornato il software.
  • Esamina le pratiche di sicurezza di tutte le applicazioni, i plug-in, il software di terze parti e così via, prima di eseguirne l'installazione sul server. Una vulnerabilità di una sola applicazione software può compromettere la sicurezza dell'intero sito.
  • Richiedi la creazione di password complesse.
  • Verifica la sicurezza di tutti i dispositivi utilizzati per accedere alla macchina (sistema operativo e browser aggiornati).

8. Verifica il completamento della pulizia

Assicurati che la risposta alle seguenti domande sia sempre "sì":

  • Ho adottato misure adeguate se l'hacker ha ottenuto informazioni personali degli utenti? 
  • Il mio sito esegue la versione del software più recente e sicura? 
  • Ho rimosso tutte le applicazioni o i plug-in superflui o inutilizzati che potrebbero rendere il mio sito più vulnerabile in futuro? 
  • Ho ripristinato i contenuti ed eliminato quelli dell'hacker? 
  • Ho risolto l'origine principale della vulnerabilità che ha reso possibile la violazione del mio sito? 
  • Dispongo di un piano per mantenere sicuro il mio sito?

9. Porta il sito di nuovo online

Passaggio successivo

Hai quasi finito. L'ultimo passaggio della procedura è Richiedi un controllo.