• User

    Le immagini di Wordpress sono scomparse in seguito a un attacco di phishing

    Buongiorno a tutti,
    stamani nel controllare un sito da me seguito realizzato in wordpress.org ho scoperto che il sito veniva visualizzato unicamente come schermata in html cioè apparivano solo i testi, i link e i video youtube mentre il tema e le immagini dei post non si vedevano più. Ho effettuato un controllo antivirus e antimalware e tutti gli antivirus identificano il sito come privo di virus. Un unico antivirus online (Browser Defender) ha identificato un attacco di phishing presente nella cartella 99dd che però è inesistente. Ho contattato tantrahost e mi hanno risposto di cancellare i temi vecchi e cambiare il tema ma purtroppo non è cambiato nulla e il problema sussiste. Qualcuno di voi ha avuto problemi simili? Cosa mi consigliate?
    Vi ringrazio anticipatamente per le risposte
    Valentina.


  • User

    Non sono convinto che hai identificato il problema correttamente..

    comunque solitamente gli attacchi in massa si affidano a bug banalissimi, spesso su temi con js abbandonati, ma non è detto (anzi quasi mai) che una volta eliminati cambi qualcosa.

    Punto primo devi identificare il problema di sicurezza e sistemarlo, o dopo un paio di settimane sarà uguale a prima.
    Secondo, è sempre preferibile caricare un backup, ma spesso quando non è possibile bisogna metter mano all'intera installazione wp ed ad un dump del db:
    la maggiorparte degli attacchi fanno si che vengano replicati dei valori (spesso eval(...)) nel tema e nelle funzioni,
    altri aggiungono direttamente qualcosa nei post richiamati dal db,
    altri semplicemente aggiungono qualche pagina che viene utilizzata da remoto.

    Se vuoi un consiglio incomincia a farti una scansione con Sucuri SiteCheck che è utile principalmente perchè ti dice qual'è il problema, poi sta a te vedere le reazioni di chi lo ha subito come te.


  • User

    Ciao e grazie della tua risposta,
    purtroppo Sucuri non identifica alcun virus sul sito e quindi non ho potuto usufruire delle informazioni preziose che fornisce. Mi consigli dunque di effettuare un backup o di reinstallare il sito?


  • User

    Non ha senso fino a che non capisci il problema,
    ma sei sicura che sia un attacco?

    Difficilmente SiteCheck sbaglia, te lo garantisco.. o non ha preso file incriminati o magari ha usato la cache onon ha scansionato per problemi di firewall..
    O magari hai solo problemi di redirect o htaccess o cache


  • User

    Ciao,
    si ho provato anche ora con SiteCheck ma riconosce il sito come Verified Clean e Not Blacklisted, tantra host mi ha detto che si trattava del seguente errore:
    {HEX}php.cmdshell.unclassed.344 : /home/cristian/public_html/wp-content/themes/twentyten/style.css e mi ha consigliato di rimuovere l'infezione. Ho sostituito il file style.css con il file style.css pulito, non è cambiato nulla, ho provato a cambiare tema, a cancellare twentyten ma nulla, il problema resta.
    Dal punto di vista del file ht access mi sembra tutto ok, e anche per la cache.


  • User

    Su un foglio di stile non credo ci possano far molto, è molto più probabile che abbiano messo magari nella cartella tmp un style.php..

    Ma dentro a questo file infettato che noti di strano?

    Se è stato fatto un upload o una sovrascrittura di uno script può essere che siano entrati sia per injection o che hanno scoperto la password o che hai un js datato.
    Sul sito hai cambiato l'utente admin? hai un controllo sul bruteforce del login? hai qualche log o controllo sulle query?

    Nel caso, reinstalla un backup, installi wp better security cambiando utente admin, impostando un numero massimo di tentativi di login, indem per il controllo di richieste url sospette, idem cambia psw sull'hosting.

    Cosi comunque significa poco, di solito viene mirato un file php, controlla meglio che sia proprio quello il file sospetto.

    La parola la lascio a chi ne sa più di me.


  • User

    Ciao,
    proverò a seguire i tuoi consigli,
    ti ringrazio moltissimo delle tue risposte puntuali, mi sono state di grande aiuto,
    Valentina.