Stai riscontrando che dal server dove c’è il tuo sito worpdress stanno partendo milioni di mail SPAM?
Non sai cosa fare e il cliente pressa perché tutto funzioni nuovamente alla perfezione?
Vediamo insieme cosa fare.
Introduzione
N.b: Questa guida è per chi ha un server centos con panello WHM.
Prima o poi, capita di venire attaccati da hacker e vedere il server che non risponde proprio correttamente ai nostri comandi o addirittura vedere il proprio sito defacciato o redirezionato su un sito malevolo.
Proprio questi giorni abbiamo risolto, per conto di un nostro cliente, una problematica simile.
Le problematiche
Il server mysql andava spesso in crash, lo spazio disco si era esaurito in breve tempo, le mail non venivano più inviate ne ricevute (a volte si altre no senza motivo).
Prima analisi
Analizzando i log e cercando di capire cosa stava succedendo, abbiamo notato che la cartella /var/spool/exim/input era satura di mail e qui il problema dello spazio disco saturo e delle mail non inviate/ricevute.
Il sito del cliente effettuava un redirect su un sito russo ed abbiamo scovato che l’htaccess era stato corrotto.
Continuando ad analizzare abbiamo notato che c’erano molte altre cose che non tornavano allora abbiamo cercato di arginare il problema cercando la strada giusta per proseguire.
Cosa fare
Per prima cosa non potevamo cancellare le mail dalla coda dato che si sarebbero ricreate nuovamente quindi, andava prima rimosso chi inviava le mail.
Cerchiamo quindi il colpevole.
Per prima cosa verifichiamo che solo noi abbiamo effettuato l’accesso al server via ssh con questo comando
last -n 20
Se risulta qualche IP sconosciuto, conviene sicuramente cambiare password di root del server.
Per scovare quale script sta inviando mail, possiamo lanciare questo comando che effettua una ricerca nel log di exim:
grep cwd /var/log/exim_mainlog | awk '/public_html/ {print $3}' | sort | uniq -c
Questo comando, da lanciare via shell, tornerà come risultato tutti gli script che hanno inviato delle mail, già da qui possiamo capire quale file è stato corrotto e quindi quale andare a pulire.
Fate attenzione poi ad un plugin chiamato GroupDocs Assembly che sembra essere un plugin malevolo. Dal repository, attualmente, è stato rimosso a causa forse di una falla ma, il plugin incriminato utilizzato dall’hacker, probabilmente è una versione modificata dello stesso. Noi lo abbiamo trovato installato senza mai averlo fatto. Infatti nella ricerca precedente lo dava come script che inviava mail. Lo abbiamo rimosso.
Vedete anche qui dove si parlava appunto di questo plugin: http://wordpress.org/support/topic/beaware-this-plugin-attracts-hackers
Altra ricerca da effettuare è ,cercare all’interno delle pagine di tutto il sito il codice seguente
eval(base64
questo perché molti script convertono le stringhe utilizzando appunto la funzione base64_decode perché la stringa originale viene codificata per non renderla riconoscibile.
Effettuata questa ricerca e modificati i file dovremmo aver risolto una parte dell’opera.
Ora possiamo eliminare le mail nella coda lanciando questo comando
find . -type f -exec grep -li "testo_da_cercare" {} \;|xargs -I {} rm {}
sostituendo la stringa testo_da_cercare con quello che dovete cercare voi ma fate attenzione, cercate una stringa ricorrente che si ripete nelle mail di spam altrimenti se mettete il nome dominio, anche le mail buone verranno eliminate.
Per capire quale è la stringa ricorrente potete aprire alcune delle tante mail che avete nella coda al seguente percorso
/var/spool/exim/input/
all’interno troverete tante cartelle con numeri e lettere, e all’interno di queste sottocartelle troverete i singoli file che sono le mail in coda per essere inviate.
I passaggi successivi sono quelli più importanti cioè:
- Aggiornate sempre wordpress all’ultima versione
- Importantissimo aggiornare i plugin ed avere sempre le ultime versioni
- Installate il firewall CSF sul vostro server WHM per rendere più sicuro il tutto
(http://www.whmsecurity.com/firewalls-and-security/how-to-install-csf-config-server-firewall) - Proteggere il server SMTP per evitare che venga utilizzato per fare dello spam
Questa è una breve guida della nostra esperienza con un sito hackerato ma quello che possiamo consigliare è, se non si è esperti, di far mettere mano sempre a chi ha più esperienza e conoscenze di noi onde evitare ulteriori danni soprattutto su server in produzione.
Con questo è tutto ma se avete dubbi commentate e vediamo di trovare una soluzione insieme.
C’è sempre una soluzione al problema…
Alla prossima avventura…
DETTAGLI
Livello: Alto
Requisiti: Pannello WHM, accesso shell al server, Conoscenza dei comandi base del server centos
