• User Attivo

    Aiuto! Sito attaccato da hacker

    Salve,
    come regalino di Natale, un sito da me realizzato con WP è stato attaccato da un hacker (compare pagina bianca, con musica araba di sottofondo).
    Non mi era mai successo e non so cosa è meglio fare, di preciso.
    Per ora, sono riuscito solo a ricaricare il file index.html, così almeno non si vede la home oggetto di attacco.
    Le credenziali per accedere al wp-admin, non funzionano più.
    Ho già scritto anche all'hosting.
    C'è qualcosa che posso fare subito?
    Help!!!!!!!
    Hikari


  • User Attivo

    ...primi interventi (a naso): tramite ftp, ho scoperto che il file corrotto è (ovviamente) index.php, e in più è stato aggiunto un file "Sym" che non c'entra niente. Eliminati entrambi e reinstallato il file index.php che avevo in backup. Il sito ora è a posto (ma per quanto...?), purtroppo però non riesco ancora ad accedere al pannello wp-admin, quindi non riesco a vedere se si è aggiunto un utente o altro...


  • User Newbie

    @hikari said:

    ...primi interventi (a naso): tramite ftp, ho scoperto che il file corrotto è (ovviamente) index.php, e in più è stato aggiunto un file "Sym" che non c'entra niente. Eliminati entrambi e reinstallato il file index.php che avevo in backup. Il sito ora è a posto (ma per quanto...?), purtroppo però non riesco ancora ad accedere al pannello wp-admin, quindi non riesco a vedere se si è aggiunto un utente o altro...

    ciao, è successo anche a me un paio di mesi fa. La prima cosa da fare è cambiare il file index del template (io ho reinstallato direttamente il template). Ora per ripristinare la password ti conviene andare direttamente sul database.

    Se hai un account con cPanel accedi a quello ed entra nel database.

    Io avevo joomla quindi me la sono cavata scrivendo una semplice riga di comando e ho cambiato la password.
    Tu puoi andare si google e cercare:

    password wordpress dimenticata reimpostala

    Il primo risultato fa al caso tuo. :wink3:

    Fai attenzione a sistemare in fretta altrimenti la polizia chiama il tuo provider e ti fa sospendere lo spazio, a quel punto non puoi più accedere nemmeno al database perchè non puoi più entrare in cPanel.

    A me è successo proprio così, non sapevo nemmeno del perchè mi fosse stato sospeso lo spazio ed il sito. Ho dovuto aspettare un mese prima di farmi riattivare lo spazio web e solo per poche ore per sistemare il tutto. Li mi sono accorto che era stato hackerato da Al Rafidain e ho sistemato subito tutto.

    Mi raccomando di impostare una password di almeno 20 caratteri alfanumerici e simboli questa volta, una cosa tipo:

    c(GG)Dd^mK{ks<836zG>N-gs+g*d[N:;K^

    ps: Al Rafidain del :lipssealed:


  • User Newbie

    comunque il nome dell'amministratore è rimasto "admin".
    L'hacker ha solo cambiato la password.

    spero di essre stato utile


  • User Attivo

    ...ma allora è vero che Babbo Natale esiste!
    Grazie per aver risposto in un giorno come oggi!
    Passerò la serata in modo alternativo...
    Vi aggiornerò sul tutto.
    A presto e Buone Feste (per chi può...)
    H.


  • User Attivo

    fatto, perfetto!!!
    Domandina (magari per l'Epifania): mi conviene cambiare anche il nome del database (e quindi delle varie tabelle...)? So che non è un lavorino tanto simpatico, ma posso farcela...
    Grazie!
    H.


  • User Newbie

    Con joomla ho riscontrato solo un problema con il forum kunena che ha chiamato tutti gli utenti admin, ma solo all'interno delle discussioni. Non nella lista dei topic.
    Se non riscontri problemi credo che tu possa evitare e se metti una password sicura non dovresti più avere di questi problemi.
    Ti consiglio la crittografia a 256 bit con 63 caratteri con: maiuscole, minuscole, numeri, caratteri speciali.
    Se vai su "grc.com/haystack.htm" ti renderai conto che con solo 8 caratteri tra maiuscole, minuscole, numeri, caratteri speciali, possono bucare il sito in 1 minuto con un attacco massivo.
    Se aumenti almeno a 20 caratteri almeno sei più sicuro.

    Poi l'hacker Ghost Al Rafidain oltre ad essere un estremista è anche il nome di un'università privata di informatica in Iraq.

    ciao


  • User Attivo

    Grazie ancora, Freesh.
    In effetti la pw che avevo messo prima, il sito grc la dà "bucabile" in 2,24 secondi...
    Adesso ne ho messo una con 20 caratteri tra maiuscole, minuscole, numeri e simboli.
    Ho anche installato il plugin Antivirus per WP, che almeno mi segnala velocemente se qualcosa non va.
    Buone Feste!
    Hikari


  • User Attivo

    ...e non poteva mancare la sorpresina di S.Stefano: altro sito attaccato!!!
    Grazie ai post precedenti, ho risolto (per ora?) velocemente, ma ora mi chiedo: i 2 siti sono sullo stesso hosting, sarà un caso? Non è che ci possa essere anche una responsabilità dell'hosting nell'avere qualche falla di sicurezza?
    Grazie.
    H.


  • User Newbie

    Analizzando gli attacchi si vede che piu che organizzati per hosting, sembrano seguire una logica a zone, per esempio 1 giorno per gli attacchi in italia, 1 giorno per gli attacchi in brasile, 3 per la svizzera, 5 per l'america, ecc.
    Comunque tutti siti personali, niente di clamoroso.
    Probabilmente fra un paio di giorni, se non gia adesso sara passato ad un altro posto.

    ciao


  • User Attivo

    Grazie ancora. Spero proprio che ora si riposi in qualche paradiso tropicale...


  • Moderatore

    Il 90% abbondante degli attacchi ai blog Wordpress è su admin ed è il motivo per cui è meglio usare un ID diverso per l'amministratore. Puoi modificarlo nello stesso modo usato per modificare la relativa password. Almeno, utilizza un plugin come Limit Login Attempts - wordpress . org/extend/plugins/limit-login-attempts/ - per disinnescare i tentativi di crack via brute force. Analizza anche gli IP degli attaccanti dai blog del sito per bannarli da cpanel con la funzione apposita in modo che non possano più neppure accedere al sito.


  • User Attivo

    Grazie Massimo.
    Scusa, ma non essendo esperto non ho capito come fare per analizzare gli IP degli attaccanti...
    A presto,
    H.


  • Moderatore

    Dentro cpanel c'è una funzione per vedere i log di sistema, che però sono solo quelli delle ultime ore perciò vanno bene solo se l'attacco è appena arrivato. Plugin come quello che ti ho consigliato registrano l'IP dell'attaccante per cui è più facile. I log sono comunque accessibili entrando via ftp nel tuo sito per cercare poi con calma gli IP che hanno tentato di accedere a wp-login.php.


  • User

    @NetMassimo said:

    plugin come Limit Login Attempts

    Sfrutto la discussione e il suggerimento per fare una domanda banale/stupida, Limit Login Attempts appesantisce in qualche modo il sistema wordpress?

    Grazie, Mattia.


  • User
    • nascondere versione wp;
    • wp/plugin/template aggiornati;
    • cancellare plugin disattivati o troppo vecchi;
    • carica un file index.html nelle cartelle (anche senza codice html);
    • cambiare il prefisso delle tabelle wp_ ;
    • Backup settimanale;
    • eliminare install.php in wp-admin;
    • eliminare changelog.txt del template/plugin.

    Se i tuoi siti sono su hosting condivisi, probabilmente bucheranno anche gli altri. Una volta pulito il sito e cambiato le password, chiedi a google di riesaminare il sito (suppongo tu abbia configurato google web master toos). Mi spiace non poterti linkare gli url ma non sono utente premium. 😞


  • Moderatore

    @mattiaboero said:

    Sfrutto la discussione e il suggerimento per fare una domanda banale/stupida, Limit Login Attempts appesantisce in qualche modo il sistema wordpress?

    Questo plugin agisce nella pagina di login al sistema perciò nella normale visualizzazione del sito non dovrebbe appesantire minimamente le pagine.


  • User

    @NetMassimo said:

    Questo plugin agisce nella pagina di login al sistema perciò nella normale visualizzazione del sito non dovrebbe appesantire minimamente le pagine.

    Grazie!