Home › Forum › Problemi Vari con WP › Attacco Hacker!
-
AutorePost
-
-
31 Luglio 2006 alle 20:21 #1942DoctorPartecipante
Mi hanno attaccato entrambi i miei siti. C’è qualcuno che potrebbe darmi una mano ??? http://www.lorenzogambini.org e http://www.kiaikidoprato.it
AIUTOOOOOOOOOOOo
-
31 Luglio 2006 alle 20:48 #39611DoctorPartecipante
Mi sembra che sia stato alterato il file index.php nella cartella wp-content. che posso fare??
-
31 Luglio 2006 alle 21:29 #39612SteveAglAmministratore del forum
sostituirlo con uno “sano”, scaricalo dalla ultima versione di WP e fai un aggiornamento alla 2.0.4
-
31 Luglio 2006 alle 22:13 #39613DoctorPartecipante
Questa è la soluzione alla quale ho pensato in primis, ma c’è un problema: uno dei passaggi per effettuare un aggiornamento della versione di WP è quella di disattivare TUTTI i plugin…come faccio io se non riesco ad accedere al pannello di controllo di WP??
-
31 Luglio 2006 alle 22:15 #39614DoctorPartecipante
…e poi tutti i file index sembrano alterati! Non posso effettuare direttamente un aggiornamento alla 2.0.4 senza sostituire i file che adesso sembrano corrotti? (anche perchè la mia era solo un’ipotesi…)
-
31 Luglio 2006 alle 22:15 #39615degraPartecipante
è appena successo anche a me…
hanno sostituito tutti i file idex.php del sito, quindi anche di tutti i temi.
basta sostituirli da ftp.
-
31 Luglio 2006 alle 22:20 #39616DoctorPartecipante
è appena successo anche a me…
che effetti ti dava l’attacco?? guarda il mio sito e dimmi se avevi lo stesso effetto..
-
31 Luglio 2006 alle 22:24 #39617SteveAglAmministratore del forum
sto Crackers_Child sta facendo danni stasera, ha defacciato anche alcuni siti fatti con drupal e qualche wiki.
Cmq per i plugin, basta cancellarli dalla loro directory e reinstallare tutto daccapo. Credo che il database sia a posto quindi reinstallando l’ultima versione non dovresti avere problemi.
-
31 Luglio 2006 alle 22:26 #39618degraPartecipante
sà¬, lo stesso messaggio
-
31 Luglio 2006 alle 22:32 #39619DoctorPartecipante
Vediamo se risolvo il problema..mi conforta il fatto che non sono il solo colpito..avevo gia incolpato un “imbecillotto” che ogni tanto fa il furbo con mail minatorie….Gli è andata bene stasera!
-
31 Luglio 2006 alle 22:40 #39620degraPartecipante
penso che sia un attavcco fatto con uno script apposito assolutamente a caso tra i vari blog su CMS, come exploit, tanto per far vedere che ci riesce, nulla di mirato…
-
31 Luglio 2006 alle 23:00 #39621DoctorPartecipante
Problema risolto..è stata una buona scusa per aggiornare a WP 2.0.4…Grazie dell’aiuto!
-
31 Luglio 2006 alle 23:02 #39622degraPartecipante
io aspetto wp 2.0.4 in italiano…
-
31 Luglio 2006 alle 23:13 #39623DoctorPartecipante
ma c’è gia…o no? Sulla home dice di si…
-
31 Luglio 2006 alle 23:42 #39624degraPartecipante
ehm… sà¬, ero io che non avevo visto il post nuovo… ero rimasto al precedente che diceva per martedଅ
-
1 Agosto 2006 alle 8:19 #39626DoctorPartecipante
Ci risiamo!!! Nonostante abbia aggiornato tutto ieri sera stamani il sito è stato di nuovo attaccato!! Ma nn si puo fare qualcosa??
-
1 Agosto 2006 alle 9:02 #39627nylonPartecipante
Doctor… ci dici che plugin hai installato ed attivato?
magari la soluzione è in uno di quelli!
-
1 Agosto 2006 alle 9:14 #39628DoctorPartecipante
ContactForm, Subscribe, MyStatus, Democracy, Filosofo Old-Style Upload, WP-CC.
-
1 Agosto 2006 alle 9:29 #39629degraPartecipante
il mio per ora tiene…
anch’io ho contactform e democracy di quelli che hai tu…
ti è mica arrivata un’email di spam da contactform qualche giorno fa?
-
1 Agosto 2006 alle 9:30 #39630degraPartecipante
ah, ma questo è un altro hacker
-
1 Agosto 2006 alle 9:38 #39631DoctorPartecipante
No, mi sembra di no per quanto riguarda mail dal contact form. La cosa che pero mi interessa di piu adesso è capire come risolvere il problema evitando di essere nuovamente bersaglio di questi giocherelloni.
-
1 Agosto 2006 alle 9:38 #39632Alberto__Partecipante
Non dipende da wordpress.
Il problema è TopHost.
Quଠspiegano come fare, devi ripristinare i permessi dal cpanel. http://www.tophost.it/aiuto/
Boicottiamo Tophost.
Le 9.99€ più sprecate della mia vita.
E ne ho fatte di cavolate.
-
1 Agosto 2006 alle 11:22 #39633SteveAglAmministratore del forum
be’ li dice che l’attacco è riuscito perché i permessi delle directory
htdocs
dei siti defacciati avevano i permessi di scrittura per chiunque (777) cosa che è sempre meglio evitare. -
1 Agosto 2006 alle 11:26 #39634degraPartecipante
Non sono d’accordo: per me sono i 9,99 euro meglio spesi di tutta la vita!
Tophost offre un servizio assolutamente paragonabile a quelli degli altri host, ma a prezzi ridicoli.
Inoltre non vedo cosa ci sia da pretendere per un prezzo simile: con meno di 10 euro cosa compri? Qui hai uno spazio, mail, dominio, e io non ho mai avuto nessun problema in questi 7 mesi e mezzo.
Mentre leggo che altri hosting hanno parecchi problemi e costano di più…
Poi non penso che quello che è scritto nel forum d’aiuto di tophost sia del tutto esatto: io non ho nessuna cartella con permessi 777, proprio perchè il loro sistema me lo ha impedito e ho dovuto ripristinare i permessi tempo fa per poter accedere al ftp…
-
1 Agosto 2006 alle 11:52 #39635nylonPartecipante
Meno male che il problema è di Hosting e non di Wp o di qualche plugin… questa cosa mi rilassa molto.
Per quanto riguarda TopHost meglio che non parlo… non voglio essere OT ma il servizio vale quel che vale come tutti i servizi venduti sottocosto.
-
1 Agosto 2006 alle 12:49 #39637DoctorPartecipante
Va beh..ognuno spende i suoi 9,99 euro come meglio crede..il problema è un altro. Cè qualcuno che saprebbe aiutarmi su come evitare di essere nuovamente il bersaglio preferito di questi maghi del terrorismo telematico?..
-
1 Agosto 2006 alle 14:02 #39638nylonPartecipante
Doctor… se il problema, come sembra, dipende da TopHost… non puoi far nulla se non “pregare” che gli esperti del tuo servizio di hosting sistemino le cose a dovere…
-
1 Agosto 2006 alle 15:37 #39639degraPartecipante
infatti, bisogna vedere come risolveranno la cosa, perchè pare sia stato defacciato anche il pannello di controllo di tophost e tutti quelli che hanno commentato la notizia non avevano permessi 777. Quindi pare ci sia di più dalla parte dell’host, e probabilmente ci metteranno una pezza loro.
Ad esempio dopo ieri notte altri hanno avuto il secondo attacco, ma non tutti, io ad esempio non ho avuto altri problemi… Boh?
-
1 Agosto 2006 alle 15:47 #39640DoctorPartecipante
Ok..ma non è che posso tutti i giorni caricare e scaicare i file per ripristinare il tutto..sapreste suggerirmi qualche passaggio per arrivare ad una situazione “stabile”..?
-
1 Agosto 2006 alle 16:01 #39641degraPartecipante
no, perchè, come avrai capito, non dipende da te…
se il problema è di sicurezza del server, tu non ci puoi far niente.
a parte preparare un copia del sito in cui ci siano solo l’albero delle cartelle i i file index originali, in modo da caricarli in caso di bisogno con un solo click…
almeno fin quando da tophost non individueranno il *vero* problema e ci diranno di più.
Per ora hanno aggiornato il kernel e php, nonchè ripristinato tutti i permessi e le funzionalità di ftp che erano state bloccate…
-
1 Agosto 2006 alle 16:42 #39643DoctorPartecipante
Sto reinstallando Wp. Non riesco ad eliminare la cartella WP-include. come faccio?
-
1 Agosto 2006 alle 21:58 #39645matteoraggiPartecipante
[snip] e [snip] mi sono stati hackerati, soloalcuni siti in lingua polacca quind ied erano i più vecchi, quindi forse anche i più aperti come sicureza software, ottim motivo per aggironare il software ci guardo domani però, ora è già tardi..
-
2 Agosto 2006 alle 22:02 #39653matteoraggiPartecipante
[snip] è tornato a posto aggiornandolo alla 2.04 , ma non capisco perchè invece [snip] e [snip] sono rimasti uguali, non so che fare adesso, ne ho vri di blog da sistemare ancora..
-
2 Agosto 2006 alle 22:17 #39654degraPartecipante
non hai sostituito manualmente tutti i file index.php e index.htm di tutto il sito?
sono quelli ad essere stati sostituiti, devi ripristinare gli originali. il file dell’hacker è di 804 byte, identico in tutte le cartelle che contenevano un index.
-
2 Agosto 2006 alle 22:31 #39655matteoraggiPartecipante
io ho solo fatto l’upload di tutta la nuova 2.04…
quindi anch di tutte le index.php giusto?
di index.htm non ne ho vitsi..
ho provao ad andare su:
[snip]
e si è aggiornato il sito!
ma l’home page è rimasta uguale..
-
2 Agosto 2006 alle 22:48 #39656matteoraggiPartecipante
il file index.php che ho ora sulla root è 95 byte
hai ragione, meglio farlo a mano, perchè mandando su l’aggiornamento, non avevo fatto l’upload di nuovo del tema grafico! e li era rimasto il vecchio index.php della dimensione che dici tu, ora per esempio:
[snip]/
e
[snip]
funzionano!
vadoa dormire e domani sistemo tutti gli altri blog.
tante grazie!
-
2 Agosto 2006 alle 23:04 #39657degraPartecipante
quello che ti resta da sistemare è l’index di tutti i template, perchè l’aggiornamento non lo modifica (tranne per il tema default, mi pare), è per quello che si vede sempre quella pagina.
-
3 Agosto 2006 alle 8:25 #39659matteoraggiPartecipante
si, hai perfettamente ragione, ma coem altri, già che ci sono faccio l’upgrade alla 2.04.
C’è però una cosa che mi ha messo un po’ di sconforto, non eratanto colpa di wordpress effettivamente..
noto ora che anche siti con un solo file index.html sono stati hackerati su tophost:
[snip]
[snip]
da qui nasce la mia paura di sistemarli per poi rischire di dover ripetere ancoralo stesso lavoro..
ma ora ho letto questo articolo e mi sento più al sicuro:
-
19 Settembre 2006 alle 11:30 #40145FringePartecipante
Scusate se riprendo un thread un po’ lontanto,
A me ‘sta cosa e’ successa tre volte.
La prima la notte di ferragosto 2005
La seconda una domenica mattina un paio di giorni fa
La terza ieri.
Stessa tecnica, una pioggia di index con qualsiasi estensione in ogni cartella.
Per il restore cancello tutti gli index e rimetto quelli di word press.
Uso al momento la 2.0.4 e sono su server Windows.
I plugin non sono gli stessi indicati in precedenza.
A parte parlarne con il mio provider, che sostiene essere colpa di word press, cosa posso fare per ridurre i rischi di un ulteriore attacco?
-
27 Settembre 2006 alle 10:17 #40285oviPartecipante
Cambiare provider!
Oppure indicarli gli indirizzi in cui tophost stessa ne parla…
-
29 Settembre 2006 alle 7:18 #40323FringePartecipante
Lo feci.
Ma disse che i due sistemi, il loro e quello di top host, non sono
paragonabili.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.