Home › Forum › Problemi Vari con WP › Mi hanno hackerato i siti WP ? Come debbo fare ?
-
AutorePost
-
-
3 Agosto 2012 alle 10:51 #22293mailzillaPartecipante
Ho 3 siti in wp tutti aggiornati alla versione 3.4
In due di questi se provo a entrare come amministratore mi si apre una pagina praticamente senza grafica che mi chiede :
You must reset your password.
You may not reuse old passwords!
Enter your new password below:
Sono riuscito a entrare utilizzando phpmyadmin con un altro utente, ma se provo ad inserire un nuovo utente manualmente, me lo impedisce con un errore che mi dice :
The password must be at least 12 characters long. You must include upper and lower case letters, numbers, and symbols like ! ” ? $ % ^ & ).
Temo proprio che qualcuno sia riuscito a entrare e mi abbia incasinato i siti.
Per ripristinare userò i backup locali che ho integrandoli manualmente, ma vorrei sapere :
1) Come possono esser riusciti a entrare
2) IMPORTANTE : Come posso impedire che rientrino di nuovo ? Perchè con i backup ripristino una situazione che qualcuno è in grado di violare senza sforzi avendolo già fatto
Grazie mille !!!
-
3 Agosto 2012 alle 11:01 #96997wollyAmministratore del forum
secondo me hai installato un plugin per la gestione degli accessi che ti crea casini.
-
3 Agosto 2012 alle 11:33 #96998mailzillaPartecipante
secondo me hai installato un plugin per la gestione degli accessi che ti crea casini.
Cosଠimprovvisamente ? E’ andato tutto bene sino ad ora, sono stato una settimana in ferie e quindi non ho installato/aggiornato nulla e al ritorno, iniziano i casini.
La copia in locale a sua immagine e somiglianza funziona in entrambi i siti con problemi, il terzo sito funziona ancora, hanno più o meno tutti gli stessi plugin.
-
3 Agosto 2012 alle 12:37 #96999wollyAmministratore del forum
la prima cosa da fare è disattivare tutti i plugin e mettere il tema standard.
Per farlo basta rinominare via ftp la cartella plugin aggiungendo .old
e rinominando allo stesso modo la cartella del tema in corso.
Poi fai un po’ di refresh fino a che non si atteva il tema standard.
-
3 Agosto 2012 alle 14:15 #97002mailzillaPartecipante
la prima cosa da fare è disattivare tutti i plugin e mettere il tema standard.
Per farlo basta rinominare via ftp la cartella plugin aggiungendo .old
e rinominando allo stesso modo la cartella del tema in corso.
Poi fai un po’ di refresh fino a che non si atteva il tema standard.
ok ora parto a vedere cosa succede, vorrei provare anche con il backup del 31.07.12 che ho con xcloner per capirci qualcosa.
Intanto grazie
-
4 Agosto 2012 alle 2:30 #97006Stecchino90Partecipante
Se è un attacco hacker ti hanno bucato o il wp-config.php oppure l’htaccess…ma non penso..Disattiva i plugin, era successo anche a me.
-
14 Agosto 2012 alle 17:33 #97102mailzillaPartecipante
secondo me hai installato un plugin per la gestione degli accessi che ti crea casini.
Avevi ragione era un plugin !!! La cosa che mi meraviglia è che era installato da tempo. Ho risposto solo ora, perchè non appena ho risolto, mi si è rotto l’alimentatore del pc e siccome è in garanzia ho aspettato me lo sistemassero anzichè sostituirlo personalmente. Grazie comunque e buon ferragosto
-
20 Agosto 2012 alle 14:24 #97154marth_yPartecipante
Mi inserisco nella conversazione, se posso. Ho lo stesso problema, ma nel mio caso temo che sia il file .htaccess. Risulta modificato in data odierna da un utente che non sono io. Ho seguito tutte le procedure che ho trovato sia sui forum di Google che in questo, ma ovviamente la schermata di allerta di Chrome persiste.. Suppongo sia impossibile che Google si accorga dell’eventuale pulizia in pochi minuti.
Quello che vorrei chiedere è come posso ripristinare il file pulito. Non insultatemi, ma purtroppo non avevo il backup disponibile..
Grazie in anticipo a chi vorrà aiutarmi.
-
20 Agosto 2012 alle 14:35 #97155Stecchino90Partecipante
Ma tu l’.htaccess non l’avevi modificato?
Facci vedere la schermata di errore.
Sempre fare i backup…
-
20 Agosto 2012 alle 14:54 #97156marth_yPartecipante
Ma tu l’.htaccess non l’avevi modificato?
Facci vedere la schermata di errore.
Sempre fare i backup…
Eh lo so, purtroppo è stata un’ingenuità mia, sono alle prime armi..
Allora, con ordine:
– no, non l’avevo modificato;
– questo è quello che mi viene restituito dal sito:
– mentre questa è la schermata di diagnostica di Google:
La prova che l’hacker in questione abbia modificato l’.htaccess (e solo quello, ho controllato tutto):
Hai idee su come potrei sistemare la cosa?
Finora ho:
– eliminato una delle pagine che risultavano infette (era un post)
– cambiato tutte le psw
– aggiornato WP
– disattivato tutti i plugin (era un suggerimento qui sopra).
Altro?
-
20 Agosto 2012 alle 16:24 #97157San PietroburgoPartecipante
Chi è l’hosting?
Hai aperto un ticket col servizio di host chiedendo loro chi sia l’utente del server dal nome sesto017?
Il tema lo hai controllato, e qual’è?
Spesso i temi gratuiti scaricati da siti web e non dal repository ufficiale, sono messi lଠapposta per questi scopi.
Più che aggiornare WordPress andrebbe rasato tutto a mano (tranne il file wp-config.php, la directory wp-content ed eventuali altri file e cartelle personalizzate) e via FTP caricare da una distro genuina.
-
20 Agosto 2012 alle 17:14 #97158marth_yPartecipante
Chi è l’hosting?
Hai aperto un ticket col servizio di host chiedendo loro chi sia l’utente del server dal nome sesto017?
Il tema lo hai controllato, e qual’è?
Spesso i temi gratuiti scaricati da siti web e non dal repository ufficiale, sono messi lଠapposta per questi scopi.
Più che aggiornare WordPress andrebbe rasato tutto a mano (tranne il file wp-config.php, la directory wp-content ed eventuali altri file e cartelle personalizzate) e via FTP caricare da una distro genuina.
Il tema è a pagamento e sicuro.. Feather, si chiama. Mi pare sia di ElegantThemes. Era su da 5 o 6 mesi..
Info sull’hosting:
Registrar
Organization: Servizi Internet S.r.l.
Name: REGDOM-REG
Nameservers
dns1.unitedhost.eu
dns2.unitedhost.eu
-
20 Agosto 2012 alle 21:38 #97160Stecchino90Partecipante
Secondo me puoi solo fare questo;(non penso che si riesca a salvarlo, ma comunque prima copiati l’intero sito remoto sul tuo pc)
Però prima, se puoi accedere al .htaccess copiaci i codici qua.
Ecco una procedura alternativa più semplice e efficace per togliere il malware, ma penso che perdi tutti i dati.
1 Scaricare dal sito ufficiale il pacchetto di installazione vergine di wordpress, rimuovete al suo interno i file / cartelle wp-confing-php (o wp-config-sample.php), wp-content, e accedete nelle cartelle del vostro sito tramite FTP con un programma come filezilla.
2 A questo punto dalle cartelle in remoto del vostro sito infetto, sempre tramite ftp dovete rimuovere tutti i file tranne i file htaccess, wp-content, wp-config.php. Nota: accertatevi che i file htaccess e wp-config.php non contengano malware.
3 Ora trasferite tutti i file che ci siamo selezionati dalla versione originale di wordpress, come ho descritto nel punto 1.
4 A questo punto quasi tutti i vostri file sono stati ripuliti, quindi tramite ftp rimuovete il vostro template da wp-content>themes e reinstallate un tema scaricato da una fonte attendibile, volendo potete reinstallare lo stesso tema, ma assicuratevi di averlo scaricato nuovamente, o se l’avevate già salvato da qualche parte meglio ancora, l’importante che siate certi che non contiene virus.
5 Infine eliminate da wp-content>plugins tutti i plugin, quindi reinstallateli ovviamente prendendo gli stessi plugin da fonti attendibili, come il sito ufficiale di wordpress
6 Adesso cambiate tutte le password che hanno a che fare con il vostro sito, quindi la password ftp, la password del database e quella del vostro pannello di amministrazione di wordpress.
Comunque nel mio sito ho modificato l’htaccess e il file robots.txt per prevenire cose del genere)
-
21 Agosto 2012 alle 11:17 #97170San PietroburgoPartecipante
Partendo dal fatto che, da cPanel, il file .htaccess lo si vede modificato da un utente di nome “sesto017”; se questo sesto017 non è un suo user, e nemmeno è un admin del server.. Allora potrà rasare, pulire, aggiornare, blindare e fare qualsiasi cosa, anche scrivere nel .htaccess che può accedere al sito web solo il suo IP ed utente.. Ma sesto017 probabilmente tornerà a scassare nuovamente le cose.
Pertanto, oltre al fatto di reinstallare WordPress ed i plugin, il consiglio è di approfondire meglio le cause della compromissione del sito, scrivendo al supporto del servizio di host e chiedendo loro chi diavolo sia l’utente sesto017. Giusto per stare tranquillo; quell’utente potrebbe essere l’admin del server e allora diciamo che è normale (sempre che non gli abbiano fregato le credenziali di accesso).
In alcuni servizi di host capita che un altro utente del server condiviso riesca a scalare la vetta andando a ritroso e trovi il sistema per entrare nelle root altrui. Ecco perché, per stare tranquillo, suggerisco di chiedere al supporto delucidazioni su questa cosa.
-
22 Agosto 2012 alle 19:09 #97184felterPartecipante
Conoscendo il service provider in oggetto ho fatto una verifica direttamente con loro. A grandi linee la situazione era:
1. non risultavano ticket aperti per quel dominio (a meno di richiesta telefonica evasa immediatamente).
2. l’utente sesto017 era un altro utente presente sullo stesso server e aveva installato sul suo spazio una shell PHP e probabilmente è il sito che è stato forato per primo.
3. i permessi delle cartelle del sito di martina erano settate a 777 e per questo, tramite la shell dell’altro sito, sono riusciti a modificare l’htaccess.
Il service provider (che per la precisione non è regdom che è solo il servizio con cui è stato registrato il dominio) aveva comunque già proceduto a bloccare il primo sito e a ripristinare i corretti permessi al secondo. Infatti ora non risulta nessun messaggio dal browser al caricamento del sito.
Questo detto solo per chiarire, approfittando della disponibilità del personale dell’hosting coinvolto, quali possono essere le criticità di una situazione simile e a cosa prestare attenzione.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.