+ Rispondi alla Discussione
Risultati da 1 a 17 di 17

Scansione malware con Sucuriti Security

Ultimo Messaggio di newwebmaster il:
  1. #1
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305

    Scansione malware con Sucuriti Security

    Ciao, ho scansionato il sito con il plugin in oggetto, che ha rilevato alcuni file modificati, qualche PHP, js e qualche file di testo.
    Capisco che è difficile spiegare dettagliatamente come intervenire per sistemare questi problemi, però, esistono delle linee guida per capire se un file è una minaccia oppure è un file normale che viene scambiato per minaccia dal plugin?

  2. #2
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Ciao, difficile che venga segnalato un falso positivo.
    Quindi in questi casi:
    - se i file coinvolti sono i file core di WordPress o i file dei plugin, li sostituisci direttamente con una versione pulita;
    - se i file sono quelli del tema, li sostituisci con una copia di backup sicura.
    Davide - psdtohtml.it - Sviluppo Front-End

  3. #3
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Ciao Davide grazie per l'aiuto, purtroppo le copie che ho sono identiche, quindi hanno lo stesso problema, per file del core intendi i wp-nomefile.php giusto?
    Se i file invece sono dei .js o .txt?

  4. #4
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    In fin dei conti possiamo dividere WP in tre parti:
    - L'installazione di WP
    - I plugin installati
    - Il file tema e gli upload

    Tutto ciò che riguarda WP è sostituibile con una versione pulita, scaricata dal sito ufficiale. Lo stesso dicasi per i plugin.
    Per il tema, sarebbe stato ideale partire da una versione pulita e caricarla nuovamente.

    Ad ogni modo, se conosci esattamente quali sono i file coinvolti, li controlli e li pulisci.
    Davide - psdtohtml.it - Sviluppo Front-End

  5. #5
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    I file li ho individuati con wordfence e sucuriti, il problema è che visionandoli non mi sembra di vedere nulla di sospetto nel codice, insomma mi sembra il codice che occorre per il funzionamento del sito, magari mi sfugge qualcosa

  6. #6
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Ciao, i file che segnala l'antivirus sono:

    .hataccessold
    .a..mysql.php
    blocks.js
    class-theme.php
    csslint.js
    date.js
    e.html
    index.htmlold
    jquery.js
    jquery-migrate.js
    license.txt
    licenza.html
    underscore.js

    Sinceramente, a parte gli old che potrei eliminarli, dalla visione degli altri mi risulta difficile capire il problema o ci perderei un sacco di tempo.
    Se reinstallassi il core di wordpress tramite FTP in questo modo?

    farei backup dei file del sito e di db mysql
    scaricare ultima versione di wordpress
    via FTP andare nella root del sito e cancellare le cartelle wp-include e wp-admin e tutti i file che ci sono nella cartella ad eccezione di wp-config.php, robots.txt e .htaccess
    senza cancellare la cartella wp-content
    estrarre il contenuto di wordpress dallo zip scaricato all'ultima versione e installarlo via FTP nella root del sito
    aprire la pagina https://www.nomesito.com/wp-admin (cambiare il noem sito col mio dominio)
    Quando viene chiesto di aggiornare il db, accettare.

    Pensi che così potrei risolvere?

    I file .js appartengono anche loro al core di WP?

    Grazie per l'aiuto!

  7. #7
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Sì, è esattamente quanto avevo suggerito. La soluzione in assoluto migliore è proprio cancellare i vecchi file e rimetterli, altrimenti potrebbe rimanere qualche file extra.
    Poi rifai una scansione e verifichi se sono presenti altri malware. Se presenti potrebbero trovarsi in wp-content, e quindi nel tema o nei plugin.
    Davide - psdtohtml.it - Sviluppo Front-End

  8. #8
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Per quanto riguarda il file .jp appartengono anche questi al core di WP?

  9. #9
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Intendi .js? Generalmente tutti i file js di WP si trovano in wp-admin/js/ e wp-includes/js/. Nella root principale invece non ce ne sono.
    Davide - psdtohtml.it - Sviluppo Front-End

  10. #10
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Ok, grazie, ho apero un file php che l'antivirus segnala sospetto, aprendolo con editor di testo dentro c'è una sorta di scaraboccio lunghissimo, non è assolutamente codice php, e sinceramente non immagino come possa, in caso sia qualche tipo di comando, generare appunto dei comandi!

  11. #11
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Invece lo può fare, è uno script in grado di fare parecchi danni
    Davide - psdtohtml.it - Sviluppo Front-End

  12. #12
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Ma che linguaggio è? Non l'ho mai visto.
    ora faccio un tentativo scaricando il core di WP e sostituendo solo il file che l'antivirus mi indica e vediamo...
    Strano perchè strumenti online per il rilevamento di malware, non ne rilevano.

  13. #13
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Davide, ho fatto così, ho scaricato WP nuovo di zecca.
    Poi ho confrontato il core con i file che ho su server e visionando le criticità segnalate dall'antivirus.
    htacces e index old li ho eliminati.
    I .js nella root eliminati, tra l'altro l'editor segnalava errori e non li apriva.
    Il class-theme.php ho visto che non esiste nel core nuovo di zecca, ho aperto così quello del server e come ti dicevo c'era quel codice spazzatura..
    Eliminato anche questo.
    Morale della favola il sito funziona, segnala solo criticità su licenza.html che però ho sovrascritto con quella presa dal core appena scaricato.
    Questo eseguendo lo scan con sucuriti.
    Wordfence per me non va bene, mi segnala la presenza di file sospetti che ho cancellato dal server.

  14. #14
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Forse sono rimaste segnalazioni nella cache. Per il momento l'importante è aver eliminato ciò che era infetto. Nei prossimi giorni riprova a scansionare nuovamente il sito.
    In passato avevo aiutato due aziende che avevano avuto questo problema. È stato rognoso. Per risolverlo ho rimosso tutto, e prelevato il tema e la cartella upload dai loro backup.

    Ciò succede quando non si prendono le dovute precauzioni: dai backup ai sistemi di sicurezza, al mancato aggiornamento della piattaforma.
    Davide - psdtohtml.it - Sviluppo Front-End

  15. #15
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Guarda Davide, ti assicuro che ho antivirus sempre aggiornato nel pc, i backup automatici che mi arrivano ogni giorno, ma è un attimo, in windows si è bersagliati.
    Per segnalazioni nella cache intendi chiaramente quella del sito giusto?
    Ci sono plugin per cancellarla?

  16. #16
    User L'avatar di DavideMancuso
    Data Registrazione
    Dec 2015
    Località
    Siena
    Messaggi
    55
    Aggiungi DavideMancuso su Linkedin
    Il problema che hai avuto con il tuo sito non è dovuto al tuo PC o a Windows. Evidentemente gli hacker hanno sfruttato una vulnerabilità del sito o del server. Quale? Occorre un'analisi approfondita per trovare il problema.
    Alcuni suggerimenti li avevo scritti in questo articolo: https://www.linkedin.com/pulse/plugi...avide-mancuso/.

    Non conosco Wordfence, ma puoi provare a rimuoverlo e reinstallarlo. Un suggerimento: anche questi test (sia di scansione che di rimozione / installazione) prova ad effettuarli prima in locale. Se tutto procede bene, esegui gli stessi passaggi sul server.
    Davide - psdtohtml.it - Sviluppo Front-End

  17. #17
    User
    Data Registrazione
    May 2011
    Località
    modena
    Messaggi
    305
    Adesso mi leggo la guida che mi hai postato! Ora il sito va decisamente meglio ed è più veloce, dopo la rimozione di tutti quei file .js nella root, vecchi temi non più in uso, e altri file con dentro codice incomprensibile, a proposito, di che linguaggio si tratta?
    Ho eseguito scansione con sucuriti security e mi segnala solo un file licenza.html ma per me è un falso, è un file del core che tra l'altro ieri ho sostituito con uno dall'installazione nuova di zecca del core di wp.
    Wordfence ho provato a rimuoverlo e reinstallarlo e cancellare la cache di wp con wp supercache ma segnala criticità in temi che hi cancellato, secondo me da i numeri :-)

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.