• User Attivo

    Scansione malware con Sucuriti Security

    Ciao, ho scansionato il sito con il plugin in oggetto, che ha rilevato alcuni file modificati, qualche PHP, js e qualche file di testo.
    Capisco che è difficile spiegare dettagliatamente come intervenire per sistemare questi problemi, però, esistono delle linee guida per capire se un file è una minaccia oppure è un file normale che viene scambiato per minaccia dal plugin?


  • User

    Ciao, difficile che venga segnalato un falso positivo.
    Quindi in questi casi:

    • se i file coinvolti sono i file core di WordPress o i file dei plugin, li sostituisci direttamente con una versione pulita;
    • se i file sono quelli del tema, li sostituisci con una copia di backup sicura.

  • User Attivo

    Ciao Davide grazie per l'aiuto, purtroppo le copie che ho sono identiche, quindi hanno lo stesso problema, per file del core intendi i wp-nomefile.php giusto?
    Se i file invece sono dei .js o .txt?


  • User

    In fin dei conti possiamo dividere WP in tre parti:

    • L'installazione di WP
    • I plugin installati
    • Il file tema e gli upload

    Tutto ciò che riguarda WP è sostituibile con una versione pulita, scaricata dal sito ufficiale. Lo stesso dicasi per i plugin.
    Per il tema, sarebbe stato ideale partire da una versione pulita e caricarla nuovamente.

    Ad ogni modo, se conosci esattamente quali sono i file coinvolti, li controlli e li pulisci.


  • User Attivo

    I file li ho individuati con wordfence e sucuriti, il problema è che visionandoli non mi sembra di vedere nulla di sospetto nel codice, insomma mi sembra il codice che occorre per il funzionamento del sito, magari mi sfugge qualcosa


  • User Attivo

    Ciao, i file che segnala l'antivirus sono:

    .hataccessold
    .a..mysql.php
    blocks.js
    class-theme.php
    csslint.js
    date.js
    e.html
    index.htmlold
    jquery.js
    jquery-migrate.js
    license.txt
    licenza.html
    underscore.js

    Sinceramente, a parte gli old che potrei eliminarli, dalla visione degli altri mi risulta difficile capire il problema o ci perderei un sacco di tempo.
    Se reinstallassi il core di wordpress tramite FTP in questo modo?

    farei backup dei file del sito e di db mysql
    scaricare ultima versione di wordpress
    via FTP andare nella root del sito e cancellare le cartelle wp-include e wp-admin e tutti i file che ci sono nella cartella ad eccezione di wp-config.php, robots.txt e .htaccess
    senza cancellare la cartella wp-content
    estrarre il contenuto di wordpress dallo zip scaricato all'ultima versione e installarlo via FTP nella root del sito
    aprire la pagina https://www.nomesito.com/wp-admin (cambiare il noem sito col mio dominio)
    Quando viene chiesto di aggiornare il db, accettare.

    Pensi che così potrei risolvere?

    I file .js appartengono anche loro al core di WP?

    Grazie per l'aiuto!


  • User

    Sì, è esattamente quanto avevo suggerito. La soluzione in assoluto migliore è proprio cancellare i vecchi file e rimetterli, altrimenti potrebbe rimanere qualche file extra.
    Poi rifai una scansione e verifichi se sono presenti altri malware. Se presenti potrebbero trovarsi in wp-content, e quindi nel tema o nei plugin.


  • User Attivo

    Per quanto riguarda il file .jp appartengono anche questi al core di WP?


  • User

    Intendi .js? Generalmente tutti i file js di WP si trovano in wp-admin/js/ e wp-includes/js/. Nella root principale invece non ce ne sono.


  • User Attivo

    Ok, grazie, ho apero un file php che l'antivirus segnala sospetto, aprendolo con editor di testo dentro c'è una sorta di scaraboccio lunghissimo, non è assolutamente codice php, e sinceramente non immagino come possa, in caso sia qualche tipo di comando, generare appunto dei comandi!


  • User

    Invece lo può fare, è uno script in grado di fare parecchi danni


  • User Attivo

    Ma che linguaggio è? Non l'ho mai visto.
    ora faccio un tentativo scaricando il core di WP e sostituendo solo il file che l'antivirus mi indica e vediamo...
    Strano perchè strumenti online per il rilevamento di malware, non ne rilevano.


  • User Attivo

    Davide, ho fatto così, ho scaricato WP nuovo di zecca.
    Poi ho confrontato il core con i file che ho su server e visionando le criticità segnalate dall'antivirus.
    htacces e index old li ho eliminati.
    I .js nella root eliminati, tra l'altro l'editor segnalava errori e non li apriva.
    Il class-theme.php ho visto che non esiste nel core nuovo di zecca, ho aperto così quello del server e come ti dicevo c'era quel codice spazzatura..
    Eliminato anche questo.
    Morale della favola il sito funziona, segnala solo criticità su licenza.html che però ho sovrascritto con quella presa dal core appena scaricato.
    Questo eseguendo lo scan con sucuriti.
    Wordfence per me non va bene, mi segnala la presenza di file sospetti che ho cancellato dal server.


  • User

    Forse sono rimaste segnalazioni nella cache. Per il momento l'importante è aver eliminato ciò che era infetto. Nei prossimi giorni riprova a scansionare nuovamente il sito.
    In passato avevo aiutato due aziende che avevano avuto questo problema. È stato rognoso. Per risolverlo ho rimosso tutto, e prelevato il tema e la cartella upload dai loro backup.

    Ciò succede quando non si prendono le dovute precauzioni: dai backup ai sistemi di sicurezza, al mancato aggiornamento della piattaforma.


  • User Attivo

    Guarda Davide, ti assicuro che ho antivirus sempre aggiornato nel pc, i backup automatici che mi arrivano ogni giorno, ma è un attimo, in windows si è bersagliati.
    Per segnalazioni nella cache intendi chiaramente quella del sito giusto?
    Ci sono plugin per cancellarla?


  • User

    Il problema che hai avuto con il tuo sito non è dovuto al tuo PC o a Windows. Evidentemente gli hacker hanno sfruttato una vulnerabilità del sito o del server. Quale? Occorre un'analisi approfondita per trovare il problema.
    Alcuni suggerimenti li avevo scritti in questo articolo: https://www.linkedin.com/pulse/plugin-wordpress-istruzioni-per-luso-davide-mancuso/.

    Non conosco Wordfence, ma puoi provare a rimuoverlo e reinstallarlo. Un suggerimento: anche questi test (sia di scansione che di rimozione / installazione) prova ad effettuarli prima in locale. Se tutto procede bene, esegui gli stessi passaggi sul server.


  • User Attivo

    Adesso mi leggo la guida che mi hai postato! Ora il sito va decisamente meglio ed è più veloce, dopo la rimozione di tutti quei file .js nella root, vecchi temi non più in uso, e altri file con dentro codice incomprensibile, a proposito, di che linguaggio si tratta?
    Ho eseguito scansione con sucuriti security e mi segnala solo un file licenza.html ma per me è un falso, è un file del core che tra l'altro ieri ho sostituito con uno dall'installazione nuova di zecca del core di wp.
    Wordfence ho provato a rimuoverlo e reinstallarlo e cancellare la cache di wp con wp supercache ma segnala criticità in temi che hi cancellato, secondo me da i numeri 🙂