+ Rispondi alla Discussione
Risultati da 1 a 7 di 7

Le immagini di Wordpress sono scomparse in seguito a un attacco di phishing

Ultimo Messaggio di Valentina Azzi il:
  1. #1
    User
    Data Registrazione
    Dec 2011
    Località
    reggio emilia
    Messaggi
    75

    Le immagini di Wordpress sono scomparse in seguito a un attacco di phishing

    Buongiorno a tutti,
    stamani nel controllare un sito da me seguito realizzato in wordpress.org ho scoperto che il sito veniva visualizzato unicamente come schermata in html cioè apparivano solo i testi, i link e i video youtube mentre il tema e le immagini dei post non si vedevano più. Ho effettuato un controllo antivirus e antimalware e tutti gli antivirus identificano il sito come privo di virus. Un unico antivirus online (Browser Defender) ha identificato un attacco di phishing presente nella cartella 99dd che però è inesistente. Ho contattato tantrahost e mi hanno risposto di cancellare i temi vecchi e cambiare il tema ma purtroppo non è cambiato nulla e il problema sussiste. Qualcuno di voi ha avuto problemi simili? Cosa mi consigliate?
    Vi ringrazio anticipatamente per le risposte
    Valentina.

  2. #2
    User
    Data Registrazione
    Sep 2012
    Località
    opzione
    Messaggi
    19
    Non sono convinto che hai identificato il problema correttamente..

    comunque solitamente gli attacchi in massa si affidano a bug banalissimi, spesso su temi con js abbandonati, ma non è detto (anzi quasi mai) che una volta eliminati cambi qualcosa.

    Punto primo devi identificare il problema di sicurezza e sistemarlo, o dopo un paio di settimane sarà uguale a prima.
    Secondo, è sempre preferibile caricare un backup, ma spesso quando non è possibile bisogna metter mano all'intera installazione wp ed ad un dump del db:
    la maggiorparte degli attacchi fanno si che vengano replicati dei valori (spesso eval(...)) nel tema e nelle funzioni,
    altri aggiungono direttamente qualcosa nei post richiamati dal db,
    altri semplicemente aggiungono qualche pagina che viene utilizzata da remoto.

    Se vuoi un consiglio incomincia a farti una scansione con Sucuri SiteCheck che è utile principalmente perchè ti dice qual'è il problema, poi sta a te vedere le reazioni di chi lo ha subito come te.

  3. #3
    User
    Data Registrazione
    Dec 2011
    Località
    reggio emilia
    Messaggi
    75
    Ciao e grazie della tua risposta,
    purtroppo Sucuri non identifica alcun virus sul sito e quindi non ho potuto usufruire delle informazioni preziose che fornisce. Mi consigli dunque di effettuare un backup o di reinstallare il sito?

  4. #4
    User
    Data Registrazione
    Sep 2012
    Località
    opzione
    Messaggi
    19
    Non ha senso fino a che non capisci il problema,
    ma sei sicura che sia un attacco?

    Difficilmente SiteCheck sbaglia, te lo garantisco.. o non ha preso file incriminati o magari ha usato la cache onon ha scansionato per problemi di firewall..
    O magari hai solo problemi di redirect o htaccess o cache

  5. #5
    User
    Data Registrazione
    Dec 2011
    Località
    reggio emilia
    Messaggi
    75
    Ciao,
    si ho provato anche ora con SiteCheck ma riconosce il sito come Verified Clean e Not Blacklisted, tantra host mi ha detto che si trattava del seguente errore:
    {HEX}php.cmdshell.unclassed.344 : /home/cristian/public_html/wp-content/themes/twentyten/style.css e mi ha consigliato di rimuovere l'infezione. Ho sostituito il file style.css con il file style.css pulito, non è cambiato nulla, ho provato a cambiare tema, a cancellare twentyten ma nulla, il problema resta.
    Dal punto di vista del file ht access mi sembra tutto ok, e anche per la cache.

  6. #6
    User
    Data Registrazione
    Sep 2012
    Località
    opzione
    Messaggi
    19
    Su un foglio di stile non credo ci possano far molto, è molto più probabile che abbiano messo magari nella cartella tmp un style.php..

    Ma dentro a questo file infettato che noti di strano?

    Se è stato fatto un upload o una sovrascrittura di uno script può essere che siano entrati sia per injection o che hanno scoperto la password o che hai un js datato.
    Sul sito hai cambiato l'utente admin? hai un controllo sul bruteforce del login? hai qualche log o controllo sulle query?

    Nel caso, reinstalla un backup, installi wp better security cambiando utente admin, impostando un numero massimo di tentativi di login, indem per il controllo di richieste url sospette, idem cambia psw sull'hosting.

    Cosi comunque significa poco, di solito viene mirato un file php, controlla meglio che sia proprio quello il file sospetto.

    La parola la lascio a chi ne sa più di me.

  7. #7
    User
    Data Registrazione
    Dec 2011
    Località
    reggio emilia
    Messaggi
    75
    Ciao,
    proverò a seguire i tuoi consigli,
    ti ringrazio moltissimo delle tue risposte puntuali, mi sono state di grande aiuto,
    Valentina.

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.