Che cos’è una backdoor di un sito web?

Una backdoor fornisce una scorciatoia per gli utenti autorizzati o non autorizzati per accedere a una posizione non autorizzata di un sito Web, software o sistema. Esistono modi diversi per classificare le backdoor, ma di solito non sono in bella vista e sono intenzionalmente difficili da rilevare.

Backdoor dello sviluppatore

A volte chiamate Maintenance Hook, Administrative Backdoor o Proprietary Backdoor, queste sono backdoor create appositamente dagli sviluppatori durante il processo di sviluppo del software o dell’hardware. La backdoor consente loro un modo rapido per testare funzionalità, rimuovere bug e scrivere codice senza dover creare un account effettivo e gestire gli accessi.

In genere,  vengono rimossi una volta che il prodotto supera il test e passa alla produzione, ma alcuni sviluppatori preferiscono lasciare le backdoor. Possono utilizzare la stessa scorciatoia per testare nuove funzionalità future, risolvere i problemi o aiutare gli utenti che sono bloccati coi loro dispositivi a ripristinare accessi. Lasciare qualsiasi backdoor in un’applicazione software crea il grave rischio che hacker abili possano rilevarlo e trarne vantaggio. Le backdoor non dovrebbero mai essere lasciate nel codice di produzione per nessun motivo, non importa quanto “sicuro” possa essere.

Backdoor dell’hacker

L’azione di un hacker che piazza una backdoor su un sistema, un’applicazione o un software è chiamato attacco backdoor. La backdoor consente agli hacker di accedere a privilegi utente elevati che consentono loro di infettare sistemi e reti.

Le backdoor possono essere presenti in dispositivi endpoint come hardware o firmware di elaborazione. Ad esempio, sono state trovate backdoor nelle CPU (Central Processing Unit) e nei server , oltre a sistemi operativi, applicazioni , siti Web e software . Quando un sito Web viene violato, un hacker inserisce la backdoor per rientrare nel sito. Ciò consente loro di tornare senza essere scoperti.

Le backdoor illegittime sono classificate come trojan. Come il cavallo di Troia della storia greca, L’ Odissea , il programma sembra innocuo ma ha un potenziale devastante. È spesso mascherato da parte di un tema o di un plug-in. Può essere nascosto o crittografato in un file con un nome discreto come .users.php . Le backdoor sono progettate per eludere i sistemi di rilevamento delle intrusioni (IDS) e possono esistere silenziosamente per mesi o addirittura anni senza essere rilevate anche prima di essere effettivamente utilizzate. 

Come ci arrivano le backdoor?

Worm

I worm sono programmi malware che installano backdoor su dispositivi come i computer. Lo scopo generale del malware in questo caso è replicarsi sul maggior numero possibile di bersagli vicini, come altri computer/server sulla stessa rete. Questo tipo di malware di solito include un modo in cui l’attaccante può comunicare con esso e un set di strumenti precostituiti che può utilizzare autonomamente per cercare di compromettere gli altri sistemi.

Leggi anche:   I federali colpiscono Slilpp, vendeva credenziali di accesso rubate.

Rootkit

Una volta che un hacker ha trovato un modo per entrare, potrebbe installare un rootkit sulla macchina. I root kit consentono agli hacker di aprire una backdoor con accesso a livello di root, lo stesso di un amministratore o di un superutente.

L’intento principale dei rootkit è quello di essere i più difficili possibile da rimuovere, possono mascherarsi come parte del sistema principale o persino infettarne una parte. Di solito l’unica rimozione efficace di un rootkit è una reinstallazione completa del sistema.

Download di app o plugin gratuiti

Quando le persone scaricano plug-in gratuiti che promettono funzionalità premium o copie piratate, questi vengono spesso corretti per includere backdoor. Questi possono essere qualsiasi cosa, dai plug-in wordpress, ai plug-in Roblox , ai convertitori di file. È fondamentale identificare e rimuovere eventuali plug-in sospetti, perché potrebbero contenere codice backdoor.

Software obsoleto

Gli hacker possono installare backdoor sfruttando bug e punti di accesso non protetti in versioni software obsolete.

Porte aperte

Una porta aperta è un numero di porta UDP o TCP impostato per accettare pacchetti. Le porte aperte aiutano i dispositivi di rete e i sistemi operativi a comunicare tra loro. Tuttavia, gli hacker scansionano le porte aperte alla ricerca di vulnerabilità di cui possono trarre vantaggio come una configurazione errata, un’impostazione predefinita di apertura e l’assenza di patch o inutilizzate.

Una porta aperta consente la comunicazione diretta con un sistema o servizio da cui può accettare direttamente i comandi/comunicazioni o può consentire lo sfruttamento di una vulnerabilità. 

Password predefinite

Quando le persone non aggiornano le password o le credenziali predefinite, diventa  semplice per gli aggressori prendere di mira quei sistemi con backdoor. Nel 2016, un paio di adolescenti hanno bloccato Internet per ore sulla costa orientale degli Stati Uniti rilevando dispositivi IoT che utilizzavano ancora le password predefinite.

Leggi anche:   Gli attacchi informatici contro gli ospedali devono fermarsi, afferma la Croce Rossa.

Posizionato intenzionalmente

I produttori di hardware inseriscono intenzionalmente backdoor nei dispositivi, per aiutare mediante un ripristino, gli utenti che dimenticano le password o sovrascrivono le impostazioni su dispositivi rubati. Vengono inoltre inseriti dagli sviluppatori per aggirare l’autenticazione durante il processo di creazione del software.

Un buon esempio di ciò è quanti router forniti dall’ISP hanno una combinazione utente/pw predefinita nota solo all’ISP o anche una linea di comunicazione diretta con quel router. Questi “segreti” possono eventualmente essere scoperti e condivisi su Internet, il che può facilmente mettere a rischio tali router, la loro rete e qualsiasi dispositivo connesso.

Quali attacchi facilitano le backdoor? 

Una volta piazzata la backdoor, gli hacker possono trarne vantaggio per eseguire diverse azioni

7 passaggi per trovare e rimuovere le backdoor:

È fondamentale rimuovere le backdoor. Pulire un sito e cambiare le password è inutile se la backdoor è ancora lì. La backdoor consente all’hacker di rientrare e reinfettare il sito con altri tipi di malware senza alcun ostacolo. Il problema è che le backdoor possono essere incredibilmente difficili da trovare manualmente.

Ecco alcuni passaggi che puoi eseguire per iniziare.

  1. Accedi al tuo server: usando SSH o SFTP . Ciò consente di trovare i file modificati e rimuoverli in blocco.
  2. Confronta i tuoi file : utilizzando il comando SSH o SFTP, confronta ogni file con i file pre-infezione archiviati nel backup. Controlla la firma numerica del checksum per assicurarti che corrisponda. Questo identificherà i file che sono stati modificati.
  3. Controlla l’integrità dei file principali: i file principali di solito non vengono mai modificati. Per istruzioni sulla ricerca di file modificati.
  4. Rimuovi plug-in, temi ed estensioni inattivi : potrebbero essere luoghi in cui si nasconde la backdoor. Rimuovi anche eventuali temi o plugin che non riconosci
  5. Inizia da zero : sostituisci tutti i plug-in, i file principali e le estensioni noti che puoi con versioni solide o appena scaricate e ispeziona manualmente ogni file codificato personalizzato, sapendo che la backdoor potrebbe essere nascosta su qualsiasi riga. 
  6. Controlla i file modificati di recente Se si dispone di una stima approssimativa di quando si è verificata la compromissione, è possibile utilizzare il comando ” mtime” per trovare altri file modificati intorno alla stessa data.
  7. Non l’hai ancora trovato manualmente? Prova uno strumento. La comunità di Github offre strumenti di ricerca backdoor gratuiti e strumenti di ricerca backdoor webshell come il rilevatore di webshell .  

Prevenire futuri attacchi backdoor:

Ecco cosa puoi fare per assicurarti di limitare il rischio di backdoor

  • Limita ciò che è installato . Se non è possibile scaricare app, widget e software non autorizzati, ci sono meno possibilità che vengano scaricati accidentalmente malware.
  • Usa una porta SSH personalizzata per ridurre i tentativi di forza bruta
  • Blocca il codice dannoso noto durante il controllo dei file. Questo elenco contiene backdoor PHP note che possono essere utilizzate per il confronto incrociato se si riscontra un’anomalia.
  • Conserva un backup e assicurati di avere sempre un backup pulito che sia privo di backdoor.  Ciò ti consentirà di confrontare e identificare rapidamente eventuali file insoliti.
  • Rimani aggiornato sulle patch con tutti i temi, le estensioni e i plugin.
  • Reimposta tutte le password e usa password complesse e prendi in considerazione un gestore di password.
  • Aggiungi autenticazione aggiuntiva come captcha e autenticazione a più fattori alla tua pagina di accesso
Leggi anche:   Cosa fare in caso di smarrimento o furto del telefono

In conclusione

Trovare una backdoor è una sfida davvero difficile e sarebbe maglio non doverlo fare.