- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Le immagini di Wordpress sono scomparse in seguito a un attacco di phishing
-
Le immagini di Wordpress sono scomparse in seguito a un attacco di phishing
Buongiorno a tutti,
stamani nel controllare un sito da me seguito realizzato in wordpress.org ho scoperto che il sito veniva visualizzato unicamente come schermata in html cioè apparivano solo i testi, i link e i video youtube mentre il tema e le immagini dei post non si vedevano più. Ho effettuato un controllo antivirus e antimalware e tutti gli antivirus identificano il sito come privo di virus. Un unico antivirus online (Browser Defender) ha identificato un attacco di phishing presente nella cartella 99dd che però è inesistente. Ho contattato tantrahost e mi hanno risposto di cancellare i temi vecchi e cambiare il tema ma purtroppo non è cambiato nulla e il problema sussiste. Qualcuno di voi ha avuto problemi simili? Cosa mi consigliate?
Vi ringrazio anticipatamente per le risposte
Valentina.
-
Non sono convinto che hai identificato il problema correttamente..
comunque solitamente gli attacchi in massa si affidano a bug banalissimi, spesso su temi con js abbandonati, ma non è detto (anzi quasi mai) che una volta eliminati cambi qualcosa.
Punto primo devi identificare il problema di sicurezza e sistemarlo, o dopo un paio di settimane sarà uguale a prima.
Secondo, è sempre preferibile caricare un backup, ma spesso quando non è possibile bisogna metter mano all'intera installazione wp ed ad un dump del db:
la maggiorparte degli attacchi fanno si che vengano replicati dei valori (spesso eval(...)) nel tema e nelle funzioni,
altri aggiungono direttamente qualcosa nei post richiamati dal db,
altri semplicemente aggiungono qualche pagina che viene utilizzata da remoto.Se vuoi un consiglio incomincia a farti una scansione con Sucuri SiteCheck che è utile principalmente perchè ti dice qual'è il problema, poi sta a te vedere le reazioni di chi lo ha subito come te.
-
Ciao e grazie della tua risposta,
purtroppo Sucuri non identifica alcun virus sul sito e quindi non ho potuto usufruire delle informazioni preziose che fornisce. Mi consigli dunque di effettuare un backup o di reinstallare il sito?
-
Non ha senso fino a che non capisci il problema,
ma sei sicura che sia un attacco?Difficilmente SiteCheck sbaglia, te lo garantisco.. o non ha preso file incriminati o magari ha usato la cache onon ha scansionato per problemi di firewall..
O magari hai solo problemi di redirect o htaccess o cache
-
Ciao,
si ho provato anche ora con SiteCheck ma riconosce il sito come Verified Clean e Not Blacklisted, tantra host mi ha detto che si trattava del seguente errore:
{HEX}php.cmdshell.unclassed.344 : /home/cristian/public_html/wp-content/themes/twentyten/style.css e mi ha consigliato di rimuovere l'infezione. Ho sostituito il file style.css con il file style.css pulito, non è cambiato nulla, ho provato a cambiare tema, a cancellare twentyten ma nulla, il problema resta.
Dal punto di vista del file ht access mi sembra tutto ok, e anche per la cache.
-
Su un foglio di stile non credo ci possano far molto, è molto più probabile che abbiano messo magari nella cartella tmp un style.php..
Ma dentro a questo file infettato che noti di strano?
Se è stato fatto un upload o una sovrascrittura di uno script può essere che siano entrati sia per injection o che hanno scoperto la password o che hai un js datato.
Sul sito hai cambiato l'utente admin? hai un controllo sul bruteforce del login? hai qualche log o controllo sulle query?Nel caso, reinstalla un backup, installi wp better security cambiando utente admin, impostando un numero massimo di tentativi di login, indem per il controllo di richieste url sospette, idem cambia psw sull'hosting.
Cosi comunque significa poco, di solito viene mirato un file php, controlla meglio che sia proprio quello il file sospetto.
La parola la lascio a chi ne sa più di me.
-
Ciao,
proverò a seguire i tuoi consigli,
ti ringrazio moltissimo delle tue risposte puntuali, mi sono state di grande aiuto,
Valentina.