Home › Forum › Problemi Vari con WP › Anti-malware
-
AutorePost
-
-
20 Marzo 2010 alle 13:46 #13377antoninoPartecipante
Salve!
Qualche settimana fa ho preso un malware sul mio blog.
Una volta rimosso ho aggiornato all’ultima versione wordpress (la 2.9.2).
Solo che adesso mi è ritornato.
Ho reinstallato wordpress da capo e ora non c’è più.
Come faccio ad evitare che accada di nuovo?
Non c’è un plugin che permetta di non prendere malware?
Grazie!
-
20 Marzo 2010 alle 14:08 #72285wollyAmministratore del forum
se sei su aruba puoi chiedere di cambiare il server oppure cambiare provider.
-
20 Marzo 2010 alle 14:12 #72286antoninoPartecipante
Se qualcosa mi infetta il blog non capisco come non possa continuare su un nuovo server…
O questo è un problema classico di chi usa Aruba?
In questo caso potresti consigliarmi un provider che non mi dia questo tipo di problemi?
Grazie!
-
20 Marzo 2010 alle 16:16 #72288wollyAmministratore del forum
è un problema di un server specifico dove vengono hackerati tutti i siti hostati indipendentemente dalla piattaforma utilizzata, su google e anche su questo forum trovi diverse discussioni a riguardo
-
21 Marzo 2010 alle 1:09 #72299zhenyaPartecipante
Salve!
Qualche settimana fa ho preso un malware sul mio blog.
Una volta rimosso ho aggiornato
Rimosso con quale procedura?
-
21 Marzo 2010 alle 3:21 #72301amiciamiciPartecipante
Ho attivato, tramite l’assistenza Aruba, un ticket dove ho segnalato lo stato di attacco dei server da parte di un (forse molti) malware.
Stanno investigando.
Io ho risolto semplicemente facendo una nuova installazione da Strumenti->Aggiorna e Re-Installa la 2.9.2 (versione che già avevo).
Successivamente ho chiesto un cambio password per la login (anche FTP) in quanto mi sono accorto che anche un blog non indicizzato e reindirizzato con .htaccess (sempre tranne i brevi periodi di miei test e su una versione 2.9.1) era stato infettato.
Ripeto: l’attacco del malware che ho preso io tre blog su tre ha scandagliato il server di Aruba (che in hosting temo conservi migliaia di domini) alla ricerca di wordpress e, sembra, cambiare la funzione che genera wp_footer(); aggiungendo, in coda, il codice malevolo.
Non ho testato se, semplicemente cambiando tema, il codice sparisse: il che vorrebbe dire che cambia footer.php (se trovato) all’interno della cartella del tema.
Questa ipotesi è la meno plausibile in quando sarebbe attaccato, con più probabilità , un tema (o il tema di default).
Altro non saprei aggiungere di utile.
-
21 Marzo 2010 alle 15:05 #72306zhenyaPartecipante
vengono hackerati tutti i siti hostati indipendentemente dalla piattaforma utilizzata
Cioè non solo wordpress.
Probabilmente il malware infetta una o più installazioni facili da bucare per poi propagarsi nel server alle altre; ecco il motivo per cui anche un blog non indicizzato s’è infettato.
-
21 Marzo 2010 alle 23:51 #72316amiciamiciPartecipante
Probabilmente il malware infetta una o più installazioni facili da bucare per poi propagarsi nel server alle altre; ecco il motivo per cui anche un blog non indicizzato s’è infettato.
Non solo non indicizzato ma il cui accesso, ad ogni pagine, era non concesso tramite .htaccess nella root (limite che, via web, lo rende assolutamente trasparente ad ogni attacco).
Solo bucando il server (che sia stata utilizzata una versione di wordpress particolarmente insicura o una falla qualsiasi di un altro CMS o del server stesso poco importa) o avendo le password degli account si poteva raggiungere lo scopo (su server Linux) di infettare in massa tanti domini.
Il problema è che, se è stato tanto semplice (e poco tempestivo il problema, se c’è stato, da parte di Aruba), rubare le password o accedere al server si può avere il CMS più aggiornato del mondo, essere su Linux, e conservare password lunghissime in banca che non serve a nulla.
-
22 Marzo 2010 alle 2:07 #72318zhenyaPartecipante
Ne ho parlato qui:
http://www.wpitaly.it/forum/topic/9976
e, come ha detto anche Wolly, NON è un problema isolato di aruba. Cercando con google trovi molti argomenti in proposito, anche su wordpress.org.. C’è anche chi ha scritto un tool per pulire i file di un dominio da quel malware:
http://justcoded.com/article/gumblar-family-virus-removal-tool/
Articolo, in inglese, molto esaustivo e con tanto di validi commenti, di cui consiglio la lettura a chi vuole approfondire l’argomento.
Quindi mettiti l’anima in pace, poteva capitare su aruba come altrove (sigh). L’importante in questi casi è aver da sempre l’accortezza di fare frequenti backup del dominio e del database.
-
30 Marzo 2010 alle 21:10 #72475steffPartecipante
Stesso problema, 5 blog wordpress infetti e dominio bloccato da google; ho aperto un ticket e aggiornati tutti blog, il codice è sparito dall’indice ma è presente in coda al feed ancora, il mio lettore non lo legge, con arora ottengo un
This page contains the following errors:
error on line 341 at column 30: Extra content at end of document.
che sarebbe lo famoso javascript, si vede bene scaricandolo con un editor di testo.
Domanda: Ma da dove viene adesso il codice, come mai viene ancora attaccato al feed (non ci ho fatto caso se prima era uguale ma credo di sà¬). Dal database mysql?
Grazie in anticipo a eventuali risposte.
-
30 Marzo 2010 alle 22:26 #72477naftalinaPartecipante
mi trovo lo stesso problema aruba e malware e non riesco a toglierlo anche reistallando di nuovo Wp
-
31 Marzo 2010 alle 13:27 #72489steffPartecipante
Ho scoperto dove risiedeva il codice sopravissuto alla reinstallazione: avevo wordpress in una sottocartella e aggiornandolo non aggiorna index.php nel indirizzo del blog che – infettato il 29.3.10 alle 19.17 -contiene lo stesso script e pesa 6 kb incece di 104 byte.
Di aruba silenzio totale dopo 24 ore di ticket aperto….
-
31 Marzo 2010 alle 15:00 #72490loopPartecipante
bè onestamente aruba non è obbligato a risponderti visto che si tratta di un problema dipeso da te e non da loro, potrebbero farlo per cortesia certo, ma dovendo rispondere a tutti (immagina le centinaia di richieste che ricevono ogni giorno) non avrebbero più il tempo necessario per dedicarsi ad altro
Comunque in linea di massima, quando vi capitano cose del genere vi conviene sempre fare pulizia totale e reinstallare file puliti.
-
31 Marzo 2010 alle 16:58 #72492steffPartecipante
Hanno risposto dicendo che non hanno riscontrato niente e che sarebbe un problema solo del mio dominio, con i soliti consiglio tipo cambia passwd ftp.
MA ATTENZIONE: non ho controllato la cgi-bin, e lଠche ho trovato due file modificati poco tempo dopo:
chat.pl
e lo script vecchio
counter.cgi
con inserito la riga
use MIME::Base64 ();eval MIME::Base64::decode(“JGMgPSAkRU5Wey… più un file mailcheck.php nella root sempre con il codice.
Conosco poco perl, ma chat.pl serve per connettersi al server, apre una pagina con “<b>Connected to $ServerName</b> e contiene bottoni per s/caricare file o usare comandi.
-
2 Aprile 2010 alle 17:08 #72529towerlight2002Partecipante
idem con patatine… e come soluzione Aruba consiglia di cambiare password ftp e mysql.
Dopo tre volte che ho trovato il ‘regalino’, adesso la prima cosa che faccio non è controllare la posta, ma verificare che non sia stato modificato il file index
-
2 Aprile 2010 alle 18:22 #72532steffPartecipante
Oggi mi ha preso un colpo, per caso controllo la data di modifica di index2.html (un vecchio file backup) e lo trovo modificato 10 minuti fa. Ma confrontandolo con il backup vedo che ha perso 6,5 kb di javascript, era infetto pure quello.
Succo: sembra che Aruba hanno fatto uno scan sul server oggi e pulito i file a tutti (spero)
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=AS:31034
-
4 Aprile 2010 alle 18:27 #72549GianfrancoGoriaPartecipante
Ho avuto situazione analoga: il mio afnews.info è stato attaccato qualche giorno fa alle 15:00 da Vir Tools:JS/Obfuscator.M (ho verificato il codice ed era proprio quello: http://www.whitefirdesign.com/resources/torpig-malware.html) – Ho dovuto bonificare l’intero dominio dai file index.php e default che erano stati inoculati col codice malevolo,e ho cambiato tutte le password. Inizialmente ho ricevuto come risposta al ticket da Auruba una generica lista di consigli ben noti. Ma il giorno dopo alle 15:00 Aruba ha bloccato tutta la posta per una “pulizia di pirmavera” insolita (di solito ‘ste cose si fanno la notte: m’è veuto un colo, temevo che un cracker mi avesse fregato tutte le password! Solo quando finalmente Aruba ha risposto al ticket sul blocco della posta ho tirato un sospiro di sollievo). Poi il giorno dopo ancora mi scrivono per chiedermi dettagli sul virus che ho incocciato nel sito… Dettagli che ho volentieri fornito, ovviamente. Giusto per dire che l’hanno presa sul serio, sia pure senza mai ammettere di avere avuto un “buco” da qualche parte nel loro sistema. Ora controllo quotidianamente il mio WordPress con un WP Antivirus (di un tal Muller) che è fin troppo paranoico: mi segnala come sospetta anche la semplice istruzione “include” nella barra laterale (dal tema DeepBlue).
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.