giovedì 18 aprile 2013

The Pharmacy Hack. Alcuni dettagli e come verificare semplicemente un sito (18 aprile)


(immagine tratta da http://www.slideshare.net/armeda/wp-endusersecurity#)


Basterebbe dare una occhiata alle decine di post anche pubblicati su questo blog ( l'ultimo proprio in data di ieri) per rendersi conto che la diffusione del Pharmacy Hacking e' sempre piu' elevata.

Come Pharmacy Hacking si intende quel genere di hacking che colpisce siti legittimi attraverso una azione che vede l'uso di codici inclusi che generano nelle pagine web riferimenti di testo e links anche automatici (redirects), a siti di vendita online di medicinali soprattutto viagra e derivati.

Di seguito riassumo un po di dati tratti dalla rete al riguardo di questo genere di compromissioni le cui conseguenze ai danni di un sito colpito sono spesso sottovalutate ma che invece hanno, come vedremo, effetti indesiderati che ,al limite, potrebbero richiedere alcuni mesi per  essere risolti.

Mi riferisco in particolare non tanto alla presenza di codici di hacking, backdoors ecc scaricati sul sito e la cui bonifica e' relativamente facile ma piuttosto al fatto di trovarsi il sito contrassegnato da una ricerca Google come inaffidabile.
L'hacking con contenuti di pharmacy infatti, anche se raramente coinvolge contenuti dannosi per cui Google non contrassegnera' il sito con l'avviso questo sito potrebbe danneggiare il tuo computer, potra' portare il motore di ricerca  ad proporre nei risultati il testo questo sito potrebbe essere stato compromesso ed eventualmente generare anche una email di notifica che informa che il sito sta violando le linee guida di Google. 
A questo punto ci potrebbero essere delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Riprendersi dagli effetti nocivi di un pharmacy hacking porterebbe quindi a tempi lunghi per ripristinare correttamente  i risultati di una ricerca Google, per cui e' interessante vedere come rilevare il piu' rapidamente possibile se un sito e' vittima di questo genere di attacchi.

Uno dei suggerimenti per creare facilmente un sistema, per di piu' totalmente automatizzato, per verificare giornalmente il nostro sito si basa proprio su un utilizzo di Google attraverso sia una ricerca manuale che sfruttando alcune opportunita' offerteci dal servizio Google Alert.

Vediamo alcuni interessanti dettagli:

Come scritto molte volte in post relativi a pharmacy hacking su questo blog, nella maggior parte dei casi analizzati (anche se esistono eccezioni) i link di spam e i contenuti di pharmacy sono nascosti ai visitatori del sito colpito ma sono solo rilevabili dai bot dei motori di ricerca.
La cosa e' abbastanza comprensibile se si pensa che e' interesse di chi gestisce la distribuzione di links a pharmacy, evitare che il meccanismo di distribuzione e che i contenuti fraudolenti vengano scoperti dagli amministratori dei siti coinvolti e bonificati.
Quindi, quando un bot di un motore di ricerca fa una richiesta per una pagina del sito, si identifichera' come tale (Google bot...... ecc...), i codici fraudolenti inclusi nel sito colpito identificheranno il bot ed i contenuti di pharmacy (testo e links) verranno indicizzati e finiranno per essere inclusi nei risultati di una ricerca.
La tipologia dei codici di pharmacy hacking inclusi e' molto varia ed e' limitata solo dalla 'fantasia' di chi gestisce questo genere di attacchi.
Avremo quindi colpita una singola pagina o centinaia di pagine sul medesimo sito, pochi o molti links a siti di pharmacy, risultati che vengono proposti ad un solo e specifico bot (es solo a Google) oppure a differenti bot (Yahoo ecc...). 
Conseguenza di questo il metodo piu' rapido ed abbastanza sicuro per capire se il vostro sito e' caduto vittima dell'hacking di pharmacy e' quello di verificare cosa trova una ricerca Google ma, evidentemente, ricerca che comprenda termini di pharmacy nelle parole chiave da passare al motore di ricerca.
Ecco la stringa di ricerca da proporre a Google

site:www.ilmiosito.it (online|pharmacy|cialis|viagra|xanax)

Per chi non usa spesso gli operatori Google ecco la spiegazione tratta dagli help online del motore di ricerca:

Ricerca all'interno di un sito o un dominio usando   >>>>>>  site: query
Inserisci "site:" per cercare informazioni in un unico sito web, ad esempio tutte le istanze di "Olimpiadi" sul sito web di La Stampa.[ Olimpiadi site:lastampa.it ]

Quindi site:www.ilmiosito.it servira' a limitare la ricerca solo al nostro sito

(online|pharmacy|cialis|viagra|xanax)  sono invece le parole chiave da cercare e, come detto, saranno quelle che produrranno i risultati che potrebbero malauguratamente mostrarci che il nostro sito e' associato alla vendita di viagra e derivati 

Notate il simbolo | tra le varie parole. Si tratta dell'equivalente all'operatore booleano OR  (oppure)  che in effetti lo puo' sostituire per chiarezza

es.  (online OR pharmacy OR cialis OR viagra OR xanax)

Questo significa che se sono presenti nel nostro sito riferimenti a parole come online oppure (OR) pharmacy oppure cialis oppure viagra oppure xanax avremo un risultato di ricerca positivo.
Le parentesi servono poi a raggruppare la stringa booleana nel caso presenti piu' stringhe di ricerca con operatori booleani
In questo caso possono anche essere omesse ma per chiarezza sono indicate. 

A questo punto se il sito compare nei risultati cio' potrebbe indicare che lo stesso sia ora al servizio di uno dei tanti distributori di pharmacy online.
Senza entrare nei dettagli visto che le azioni da intraprendere possono variare a seconda degli ambienti di sviluppo utilizzati per creare e gestire il sito (Joomla, Wordpress ecc...) si possono individuare alcuni step di intervento per risolvere il problema:
Es nel caso di sito creato in Wordpress i consigli che si trovano in rete riguardano:
La rimozione del o dei files di hacking dalla directory Plugins
La rimozione del codice dannoso dal database di Wordpress
L'identificazione e rimozione delle vulnerabilita' che hanno permesso l'hacking del sito onde evitare di ritrovarsi dopo poco in analoga situazione.

Esistono comunque in rete blogs e siti che descrivono in dettaglio le azioni da intraprendere per bonificare il sito ed anche notificare a Google il fatto che il sito sia ritornato “pulito”, ripristinando cosi i corretti risultati di ricerca.

Vediamo ora come automatizzare facilmente la scansione del sito per tenerlo controllato e rilevare tempestivamente eventuali azioni di pharmacy hacking che potrebbero colpirlo.
Per fare questo possiamo usare il servizio Google Alerts
Per chi non lo conoscesse, il servizio di Google Alerts permette di creare una ricerca automatica i cui risultati verranno inviati periodicamente alla nostra mail.


Ecco cosa si legge sul sito di Google Alerts
Rilevamento di contenuti nuovi e interessanti sul Web
Google Alerts e' un servizio di aggiornamenti via email sui piu' recenti risultati pertinenti di Google (Web, notizie e cosi' via) basati sulle tue query.

In pratica ad intervalli prestabiliti Google provvedera' ad inviarci una mail se la ricerca che abbiamo attivato avra' esito positivo.
Bastera' quindi che attiviamo una ricerca con la stringa simile a quella usata nell'esempio di cui sopra, per venire automaticamente avvisati se il nostro sito ha problemi di pharmacy hacking.

Altro dettaglio interessante e' quello relativo ad un user agent opportuno per verificare se il sito contiene dati e links a pharmacy.
Una volta ottenuti i risultati di ricerca con contenuti di hacking si potra' quindi attivare, ad esempio, uno dei  tanti plugins Firefox per la gestione dell'user agent Google Bot, cosa che ci permettera' di visualizzare i testi e links a pharmacy direttamente da browser invece che venire rediretti a sito di vendita medicinali in maniera automatica.


Edgar

Nessun commento: