imunify falsi positivi

Imunify360: come distinguere falsi positivi e veri malware

imunify falsi positivi

Imunify360 ha uno straordinario sistema anti-malware e non a caso Netsons ha deciso di adottarlo per difendere dalle minacce della rete tutte le sue soluzioni hosting. Il suo livello di guardia è molto alto, il che è ottimo, ma talvolta questo potrebbe generare dei falsi positivi, cioè casi in cui un codice non malevolo venga invece riconosciuto come tale.

Non di rado però capita che gli utenti, non comprendendo bene perché il Malware Scanner di Imunify360 abbia segnalato un determinato file, scambino per falsi positivi quelli che in realtà sono veri malware.

Evitare di incorrere in errori simili non è molto complesso, basta sapere cosa andare a guardare: te lo spieghiamo noi!

Come si riconosce un malware

Un malware crea arbitrariamente dei file temporanei

codice malevolo file arbitrario

Nell’esempio qui sopra, per prima cosa viene creato un file nella directory “temp” del server, attraverso:

tempnam(sys_get_temp_dir(), “theme_temp_setup”)

Poi il codice viene passato nel file usando:

fwrite($handle, “<?php\n” . $phpCode)

Il codice viene eseguito per mezzo di un include() sul nuovo file temporaneo, dopodiché il file viene cancellato dal server.

Un malware piazza dei file nelle directory principali

codice malevolo directory principali

I malware sono soliti piazzare dei file nelle directory principali dei CMS, che nel caso di WordPress possono essere wp-admin and wp-includes.

Nell’esempio qui sopra, puoi osservare l’inserimento di un file chiamato wp-tmp.php all’interno della directory wp-includes.

Un malware usa password hardcoded

codice malevolo passwords

I malware comunemente si servono di un tipo di password codificate definite hardcoded, che sono inserite nel codice sorgente, oltre a chiavi di autenticazione.

Queste consentono ai malintenzionati di accedere a un file attraverso variabili superglobali come $_GET, $_POST, $_REQUEST, $_SERVER e $_COOKIE.

Nell’esempio che vedi qui sopra, il parametro password consente agli hacker di accedere al file con una propria password. Questo avviene per impedire ad altri hacker di accedere al malware.

Un malware comunica con domini sospetti

codice malevolo domini sospetti

Spesso e volentieri, un malware è facilmente riconoscibile da comunicazioni con domini sospetti. Il codice qui sopra, ad esempio, vuole mettersi in contatto con un server Command & Control (C2) su un dominio di natura non chiara.

Un malware comprende degli includes

codice malevolo includes

Gli includes sono essenzialmente collegamenti ad altri file e come tali possono far parte di un complesso malware.

Come puoi vedere nel codice di esempio qui sopra, c’è un collegamento a un file chiamato class.theme-modules.php nel quale è situato il codice malevolo principale. L’include viene usato per verificare la presenza del file e poi eseguirlo.

Un malware offusca il codice per impedirne la lettura

codice malevolo offuscato

In alcuni malware, il codice appare offuscato da tutta una serie di caratteri senza significato, una pratica messa in atto appositamente per renderne difficile la lettura e la comprensione.

Un malware usa un operatore di controllo dell’errore

codice malevolo error operator

Se un operatore di controllo dell’errore (@) viene utilizzato prima di qualsiasi funzione PHP come include, file_get_contents, eval, chmod o curl_exec, molto probabilmente il codice è malevolo.

Questo perché quando una funzione è preceduta da @ i messaggi di errore che genera vengono ignorati. Di conseguenza, le attività del malware non compaiono nei log, come mostra l’esempio qui sopra.

Un malware è composto da una sola lunga linea di codice

codice malevolo linea singola

Nella maggior parte dei casi, un lunghissimo codice in linea singola in cima a un file, come quello che vedi qui sopra (persino offuscato), è il segnale di un codice malevolo.

Ripulire automaticamente il codice malevolo con Imunify360

Imunify360 ha una funzione molto utile chiamata Clean Up All, inclusa nel Malware Scanner: utilizzala per eseguire una pulizia automatica di codice malevolo, quando non sei sicuro sul da farsi.

Da cPanel
Da WHM

Fonte: blog imunify360