Home › Forum › Problemi Vari con WP › Possibile intrusione e avviso di google
-
AutorePost
-
-
17 Novembre 2009 alle 10:03 #12189reloadedPartecipante
Dominio in questione: http://www.mytechnology.eu
Versione WP installata: 2.8.5
Ciao a tutti,
come regalo di nozze, il giorno prima che mi sposassi (circa 3 settimane fa) ho iniziato ad avere sentore che si fosse bacata la mia piattaforma solo che allora avevo altri cazzi a cui pensare.
La conferma mi è arrivata mentre ero in viaggio che mi sono arrivate mails da google che indicavano appunto l’inserimento del mio dominio nella “black list” ed il sito infatti era bloccato dall’avviso classico di google.
Ora sono tornato grazie a dio e sto cercando di capircene qualcosa. Se non ho capito male ultimamente sono stati diversi i siti colpiti e volevo capire se il mio rientrava nella categoria oppure no.
Premetto che ho sempre tenuto aggiornato all’ultima versione.
Ho provato la prima volta a controllare il file index.php e successivamente il file default-widgets.php che contenevano uno script a mio avviso sospetto e che bloccavano la visualizzazione del blog. Inoltre lo stesso script era presente nell’index.php presente nella cartella wp-admin che se non l’avessi rimosso non avrei potuto entrare nel pannello di amministrazione.
Fatto questo il blog era consultabile e amministrabile ma con l’avviso di google, cosଠho provato a sovrascrivere tutti i files di wordpress con quelli originali della medesima versione scaricati da qui.
Ho richiesto un nuovo controllo, il blocco è scomparso per un paio di giorni per poi tornare tale e quale. Ora in strumenti per webmasters mi viene dato un elenco di pagine che potrebbero essere una “minaccia” solo che a me tali pagine sembrano pulite.
Mi sto preparando con tutti i backup del caso per poi fare una nuova installazione ma se per favore avete qualche delucidazione su come essere certi dell’infezione (e nel caso di che tipo di infezione si tratti) ve ne sarei grado.
Ciao a tutti!
Paolo.
-
17 Novembre 2009 alle 10:22 #69600wollyAmministratore del forum
sei su aruba?
-
17 Novembre 2009 alle 10:25 #69602reloadedPartecipante
aggiungo una cosa notata solo ora,
se visualizzo il sorgente della home cosi come delle pagine, in fondo dopo la chiusura di body e html compare uno script di cui riporto solo il pezzo iniziale:
<script language="javascript">="Z64bZ3dZ227FgZ3edgZ3edbu~tcKyMK....
dove può essere piazzato? non riesco a rintracciarlo da nessuna parte tra i vari files...
-
17 Novembre 2009 alle 10:27 #69603wollyAmministratore del forum
sei su aruba?
-
17 Novembre 2009 alle 10:28 #69604reloadedPartecipante
si sono su aruba, hosting linux e versione php 5.2.11
-
17 Novembre 2009 alle 10:33 #69606wollyAmministratore del forum
allora prima di fare qualsiasi cosa chiedi il reset della password di ftp e di mysql.
Poi cancella tutti i file di wordpress, modifica il wp-config con i nuovi dati di accesso mysql e ricarica tutti i file.
Cambia il tema e sanifica il vecchio tema che usavi, controllando tutti i file del tema.
Poi controlla nel database che non sia stato creato qualche utente admin che tu non conosci e cerca nel db se ci sono cose strane.
-
17 Novembre 2009 alle 10:39 #69608reloadedPartecipante
ok grazie, proviamo…
-
17 Novembre 2009 alle 19:13 #69632paulisterPartecipante
Ciao, leggi anche qui http://www.juliusdesign.net/wordpress-2-8-5-attacco-haked-su-aruba/ Ciao!
-
7 Dicembre 2009 alle 17:51 #70012reloadedPartecipante
Ok,
io non riesco a capire più se e cosa sbaglio…
come primo tentativo ho sovrascritto tutti i files di wordpress,
poi ho provato a reinstallare da zero wp, abbinandolo poi al database ed installando i plugins da zero ed il risultato è stato che mi trovava ancora il trojan questa volta nel tema…ed effettivamente inseriva il codice maligno a estro in uno dei due js del mio tema.
cosଠho cambiato tema, ho provato con un altro, e ora mi rileva ancora il trojan HTML/Crypted.Gen ma non capisco dove esattamente dal momento che ho passato un po tutti i files e mi risultano puliti.
Ho pulito la cache di firefox per sicurezza e lo rileva di nuovo.
Qualche idea? che barba cazzarola!!
Domanda: dal database come capisco se un utente è impostato come admin o meno?
Thx!
-
7 Dicembre 2009 alle 18:27 #70013oviPartecipante
Sono entrato nel tuo sito ed anche il mio antivirus si è eccitato. Io proverei con una versione WP ufficiale.
-
7 Dicembre 2009 alle 20:46 #70015reloadedPartecipante
il problema è che è già una versione ufficiale, porcaccia l’ho installata ex-novo neanche una settimana fa…
-
7 Dicembre 2009 alle 21:54 #70016reloadedPartecipante
sembra che la cosa cerchi i files jquery e inferface *.js
li avevo nel tema e erano quelli che andava a castrare…ho messo un tema che non li conteneva, e l’infezione è passata al jquery contenuto nella cartella wp_includes/js/jquery
ora ho pulito anche questi, stiamo a vedere ma nutro forti dubbi…bah
-
9 Dicembre 2009 alle 8:34 #70028reloadedPartecipante
e infatti ora il prossimo è il prototype.js… decisamente ci deve essere qualcosa altrove
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.