+ Rispondi alla Discussione
Risultati da 1 a 24 di 24

Virus tema wordpress - banner sconosciuti

Ultimo Messaggio di Sermatica il:
  1. #1
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12

    Virus tema wordpress - banner sconosciuti

    Salve avrei un problema con il mio sito WORDPRESS. Sono iscritta con adsense, ma da circa una settimana mi appaiono banner sconosciuti precisamente in cima HEADER. Tutti i plugin sono ok, vado a controllare il tema, e ogni 2 giorni si auto installa lo script ADBIT - Con relativi banner 728x , io non capisco come sia possibile, l'antivirus non mi rileva nulla. Ma ogni 2 giorni sono costretta ad aprire l'header e rimuovere questo script. Ho spulciato tutti i file da cima a fondo per capire dove fosse il problema, ma nulla tutto sembra ok, questi banner appaiono sempre dopo 24h. Ho controllato anche il database, gli accessi al sito lato admin, nulla ci sono solo io. Come può essere possibile, chi o cosa mi installa questo script nel tema? Se potete darmi una mano, un indizio per capire. P.s. ho usato sul mio hosting l'autoinstaller wordpress, forse sarà infetto il cms alla fonte? Hosting a pagamento, quindi niente banner dal gestore.

    Grazie per il supporto - cordiali saluti.

  2. #2
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Ciao
    quale antivirus non ti rileva nulla?
    da dove hai scaricato Wordpress?
    cambia le password di Wordpress e dell'hosting
    contatta l'hosting
    fai scansione con sitecheck . sucuri .net
    Webmaster e Consulente SEO Sermatica.it

  3. #3
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Ciao Wordpress autoinstaller MISTERDOMAIN. Ho provato a cambiare pass diverse volte, ma dopo 2 giorni questi maledetti banner appaiono di nuovo. Con i siti da te elencati non mi rileva nulla. Grazie

  4. #4
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Mi mandi link dove ti da il problema? Grazie
    MISTERDOMAIN è il tuo hosting?
    Webmaster e Consulente SEO Sermatica.it

  5. #5
    User L'avatar di Ranma
    Data Registrazione
    Aug 2006
    Località
    Kepler 62f
    Messaggi
    594
    Aggiungi Ranma su Google+
    Ciao Pamela,

    per caso stai utilizzando un tema per WordPress gratuito? Come detto da Sermatica, sicuramente un link verso il sito aiuterebbe a capire il problema (Puoi metterlo anche senza http davanti, solo il nome del dominio).
    Il blog italiano sull'Hosting | Web Hosting Magazine

  6. #6
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Grazie - Risolto semplicemente cambiando la password di wordpress. Grazie

  7. #7
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Ciao, ma la password l'avevi già cambiata con esito negativo. Che password cambiavi prima?
    Webmaster e Consulente SEO Sermatica.it

  8. #8
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    Probabilmente non è una soluzione risolutoria.
    Artigiani Del Web - https://artigianidelweb.com

  9. #9
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    No scusate la password di wordpress mai cambiata. Cambiando la password ho risolto il problema, prima mi apparivano ogni 2 giorni questi banner, ora non più.
    Problema risolto, ma il MISTERO rimane, il tema che uso e semplice, non ci sono codici o script all'interno. Non so che dire. Ripeto ho risolto cambiando la password dopo aver rimosso manualmente gli annunci estranei dal tema, ma non sono riuscita ancora a capire la fonte del problema.
    IPOTESI: Un plugin importatore di feed? Possibile?

  10. #10
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    Per capire,
    veniva scritto il file es header.php dentro il template di wordpress?

    E tu lo andavi a correggere via FTP?
    Artigiani Del Web - https://artigianidelweb.com

  11. #11
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Esattamente, il classico codice banner stile adsense.

  12. #12
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Confermi che hai ripristinato file via Ftp dentro Wordpress? Se si come hai capito quali parti di codici cancellare?
    Webmaster e Consulente SEO Sermatica.it

  13. #13
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Per capirci meglio ecco il sito ads incriminato, nella lista, anomala secondo me, appaiono siti con i banner di questo ADBIT. Ma io questo sito nemmeno lo conoscevo. Come diavolo fanno a metterci i loro banner? Questo vorrei capire. Prima compariva anche il mio sito nella lista, ora non più.

    adbit.biz/websites/all

  14. #14
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Come ho capito quale codice rimuovere? Semplice, io sono con adsense, il codice adsense comincia con ( script async src="//pagead2.googlesyndication) Mentre nel file header ho trovato un 728x90 con codice script async src="//adbit........... etcc....

    Ma non solo banner, ho dovuto mettere il sito offline x scovare tutti i codici, al posto della home page standard del mio sito appariva una home pornografica. HO RISCHIATO ANCHE IL BAN DA GOOGLE. Per fortuna io sono vigile.
    Ultima modifica di Pamela Rossi; 06-06-17 alle 23:22

  15. #15
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    Ok,
    la domanda precisa però era:
    hai dovuto modificare questi files via FTP?
    Artigiani Del Web - https://artigianidelweb.com

  16. #16
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    I files infetti, erano solo quelli del template?
    Artigiani Del Web - https://artigianidelweb.com

  17. #17
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Si modificati via ftp il file header + footer

  18. #18
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    E tu hai l'editor php sul template attivato via wordpress?
    Artigiani Del Web - https://artigianidelweb.com

  19. #19
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Ciao Pamela,
    ti consiglio caldamente di ripristinare un vecchio backup del sito. Chi ti garantisce che non sia stato compromesso più in profondità?
    Webmaster e Consulente SEO Sermatica.it

  20. #20
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    Non credo sia la soluzione migliore, da quanto ho capito il problema dura da molto tempo e dubito che si possa ritrovare per le mani un backup non compromesso.

    Per cui anche il backup si ritroverebbe con gli stessi problemi di vulnerabilità.

    Bisogna

    1) Cambiare le password di tutto il sistema, non solo di wprdpress (FTP, Hosting / Server)

    2) scansionare tutto il sito

    3) Installare uno o più firewall (es. wordfence)
    Artigiani Del Web - https://artigianidelweb.com

  21. #21
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Ciao Artigiani,
    condivido pienamente i tuoi suggerimenti. Il mio Hosting il backup lo tiene per 22 giorni e mi fornisce già un firewall di default sull'hosting.
    Webmaster e Consulente SEO Sermatica.it

  22. #22
    User L'avatar di Artigiani del Web
    Data Registrazione
    Oct 2012
    Località
    Montebelluna (TV)
    Messaggi
    317
    Segui Artigiani del Web su Twitter Aggiungi Artigiani del Web su Google+ Aggiungi Artigiani del Web su Facebook Aggiungi Artigiani del Web su Linkedin Visita il canale Youtube di Artigiani del Web
    ok,
    Bene.

    Bisogna vedere quanti backup ha Pamela Rossi,
    ma in ogni caso i punti di scansione etc vanno fatti lo stesso, non si può mai sapere,
    anche perchè spesso alcuni siti infetti non si accorgono nemmeno di essere tali,
    se ad esempio sono veicolo di spam o contengono link nascosti.


    Per il firewall dell'hosting,
    si bene ma considera che non possono bloccare una vulnerabilità nota di un plugin o del core di wordpress di un certo tipo.

    Basta un solo punto debole e volendo si può scalare la vulnerabilità aggirando il firewall,
    ad esempio con files malevoli "scomposti" non individuabili singolarmente come malware,
    ma che poi si collegano fra loro tramite comandi lanciati da chi ha infettato il sito.
    Artigiani Del Web - https://artigianidelweb.com

  23. #23
    User L'avatar di Pamela Rossi
    Data Registrazione
    Aug 2016
    Località
    Berlino
    Messaggi
    12
    Grazie dei consigli ma non credo ci siano altri problemi, ho cmq cambiato tutte le password. Ho scaricato l'intero sito, con notepad++ ho ricercato in tutti i files del sito eventuali codici estranei, con la parola chiave ADBIT sono riuscita a scovare tutti i banner da rimuovere. Il core di wordpress non sembra essere compromesso ho cmq sostituito tutti i files presenti nella cartella wp-includes. Ma come sia successo ancora non riesco a capirlo.

    Il giorno che sono comparsi questi banner ADBIT redirect etcc.... IL NOTO SITO CORRIERE.IT presentava lo stesso problema, navigando il sito si veniva reindirizzati su PORNHUB.

    Io fino a quel giorno importavo feed dal corriere, ho pensato che tramite feed ho importato anche il virus.

    Possibile?


    Cmq i vecchi backup sicuramente compromessi, ho effettuato un nuovo backup in questi giorni con sito pulito, antivirus + firewall.

  24. #24
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    611
    Aggiungi Sermatica su Facebook
    Facci sapere tra un po come va.
    Webmaster e Consulente SEO Sermatica.it

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.