Come posso ripulire i miei file da codice malevolo?

Se il tuo sito è stato infettato da contenuto malevolo, dovresti ripulirlo con la massima priorità in modo da evitare che questo causi ulteriori danni al tuo account.

Per prima cosa, è raccomandato disabilitare completamente il sito e permettere l’accesso solo al tuo indirizzo IP mentre lo si pulisce. In questo modo metterai in quarantena il tuo sito, in modo che gli hacker non siano in grado di raggiungerlo. Inoltre se non disabiliti il tuo sito i tuoi visitatori accederanno a contenuto dannoso. Addizionalmente, motori di ricerca (Google, MSN, etc.) potrebbero anche finire col bloccare il tuo sito. Il metodo più semplice per mettere in quarantena il tuo sito è modificare il tuo file .htaccess e permettere l’accesso solo al tuo indirizzo IP. Usa le due righe di codice seguenti (funzionano sui server basati su Apache):

deny from all
allow from INDIRIZZO_IP

Sostituisci INDIRIZZO_IP con il tuo indirizzo IP. Una volta fatto questo il sito sarà irraggiungibile per i visitatori. Mettere il sito offline durante il ripristino non influenzerà il tuo posizionamento nei motori di ricerca in futuro.

Per avviare la pulizia dovresti scaricare tutti i file presenti sul tuo computer. Puoi farlo tramite FTP, per poi procedere alla scansione con un software Antivirus. Una volta completata la scansione avrai una lista dei file sospetti che richiedono la tua attenzione.

Solitamente il codice infetto è facilmente identificabile, infatti la maggior parte delle volte viene offuscato (criptato). Al contrario, il codice utilizzato nelle applicazioni open-source appare molto più regolare ed ordinato, include oltretutto commenti dettagliati al fine di spiegare la funziona delle sue diverse parti.

Di seguito l’esempio di un codice infetto/malevolo:

|=|<?php $ei4a=$_POST['12345'];if($ieov!=''){$tyqx=base64_decode($_POST['z0']);@eval("$safedg=$tygx;");}

Assicurati di controllare tutti i tuoi file, di rimuovere il contenuto infetto e di ricaricare il tutto sul tuo server di hosting.

Quando il codice malevolo sarà stato completamente rimosso, è buona norma procedere con l’aggiornamento della tua applicazione alla sua ultima versione più stabile.

Per assicurarti che tu sia l’unico ad avere accesso all’account, e di conseguenza impedire a chi lo attacca di raggiungerlo di nuovo, dovresti anche:

• Aggiornare il software antivirus sul tuo computer alla sua ultima versione;
• Eseguire una scansione completa del tuo computer, hard drive inclusi;
• Assicurarti che il tuo sistema operativo (Windows, Linux o MacOS) sia aggiornato e che tutte le patche di sicurezza siano attive;
• Assicurarti che la tua connessione Internet sia sicura. Nel caso tu utilizzi una connessione wireless, sappi che l’unico criptaggio sicuro è il wpa2. Per maggiori informazioni contatta il venditore del router o il tuo Internet Provider;
• Cambia tutte le password relative al tuo account di hosting (incluso account FTP, Email etc.);
• Cambia la password di accesso al pannello di controllo di tutte le tue applicazioni.