Sono stati rilevati file malevoli nello spazio web a voi in uso. Come sono stati rilevati? Sono stati rilevati da procedure automatiche per il controllo antivirus/antimalware ed integrità sui nostri server. Se tali script o file vengono rilevati possono essere, per la sicurezza del cliente, preventivamente bloccati in attesa che il cliente faccia una verifica come sotto indicato.
Vi preghiamo di verificare il resto del vostro sito web, rimuovendo ulteriori file malevoli, ed aggiornando il software li presente. Per maggiore sicurezza consigliamo di variare anche la password di accesso FTP del vostro dominio, e scansire approfonditamente i PC utilizzati per l'accesso a tale dominio.
Per una completa verifica noi consigliamo i seguenti Tool:
-
Antirootkit: Gmer Sito Web: http://www.gmer.net/
-
Hijacker: Hijackthis Sito Web: http://www.hijackthis.de/it
-
AntiSpyware: SuperAntiSpyware Sito Web: http://www.superantispyware.com/
-
Antivirus/1: Microsoft Security Essentials Sito Web: http://windows.microsoft.com/it-it/windows/security-essentials-download
-
Antivirus/2 (alternativa): Avira Sito Web: http://www.avira.com/it/index
esempio di report di sicurezza generato dai nostri server
malware detect scan report for node170xx:
SCAN ID: 060114-0345.8041
TIME: Jun 1 03:45:59 +0200
PATH: /var/www
RANGE: 7 days
TOTAL FILES: 3671
TOTAL HITS: 10
TOTAL CLEANED: 0
NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 060114-0345.8041
FILE HIT LIST:
{CAV}PHP.Trojan.Spambot : /var/www/clients/client242/web800/web/loginPDNG.php
{CAV}PHP.Trojan.Spambot : /var/www/clients/client242/web800/web/sitemap3lT.php
Importante
Talvolta la segnalazione è più importante in quanto può esservi un compliant di terze parti. Tale compliant può anche avere valore legale e contenere una intimazione. Qualora questo accada, dovremo procedere con estrema urgenza a inabilitare lo spazio web, notificando il cliente e prendendo le opportune misure. Vi preghiamo di leggere con attenzione le policy d'uso e attenervi oltre che a queste, anche alle norme legali vigenti.
Consigli nel caso di installazione di wordpress, joomla o altri content managers
-
non installare piu’ dei plugin e temi che effettivamente servono
-
disinstallare plugin non usati facendo attenzione di rimuovere anche i file
-
diffidare dei plugin che chiedono di alzare spropositatamente la memoria dedicata allo script o il tempo di esecuzione oppure che chiedono che non vi siano vincoli di sicurezza come open_basedir oppure che le register global siano poste ad on
-
non settare mai password mnemoniche per la login al pannello di wordpress oppure al database. Assicurarsi sempre che la password sia almeno 8 caratteri e sia composta di cifre e lettere sia in maiuscolo che in minuscolo
-
non inviare per email la propria password
Misure temporanee fino all'intervento del cliente
Nel caso sia stata rilevato che il suo sito è stato violato e che dei file malevoli sono stati caricati, il nostro personale, nell'interesse della sicurezza dei dati del cliente e dell'integrità del suo account può intraprendere le seguenti misure
- apre un ticket di segnalazione al cliente indicando la notificazione ricevuta ( o da terze parti o tramite il proprio datascanner interno)
- blocca gli script malevoli, dando ad esempio il non accesso ai file malevoli (chmod 0)
- esegue un blocco della posta in uscita dal web, in modo che eventuali script presenti non possano inviare spam verso l'esterno
- esegue l'immutabilità del filesystem dell'account colpito, in modo che l'hacker non possa più caricare o modificare file
