Discussione:
Intrusione - cosa fare?
(troppo vecchio per rispondere)
Ovlas
2016-03-28 11:10:09 UTC
Permalink
Raw Message
Ciao,

oggi mi sono accorto che qualcuno ha modificato parte del sito
(piattaforma wordpress) dell'associazione di cui faccio parte.

Per prima cosa ho fatto cambiare la password d'accesso e ripristinato le
pagine alterate (avevano cambiato l'home page originale con una vuota
con una scritta test, eliminato un menu di navigazione orizzontale e due
sidebar - per fortuna non avevano cancellato articoli/pagine).

Ora sto facendo un backup e manderò un'email alla società dove il sito è
appoggiato (aruba).

Basta così (a me altro non viene in mente)?

Grazie e buona giornata a tutti ;-)
--
O.
Alessandro Pellizzari
2016-03-28 11:56:28 UTC
Permalink
Raw Message
Post by Ovlas
oggi mi sono accorto che qualcuno ha modificato parte del sito
(piattaforma wordpress) dell'associazione di cui faccio parte.
Ora sto facendo un backup e manderò un'email alla società dove il sito è
appoggiato (aruba).
Basta così (a me altro non viene in mente)?
Fare un backup dopo che ti hanno bucato non serve a niente. È come
conservare i virus per rimetterteli in circolo dopo che sei guarito
dall'influenza.

Il backup andava fatto prima, e ripristinata una copia pulita quando ti
sei accorto dell'intrusione.

Il modo giusto sarebbe cercare di capire come sono entrati, poi aggiornare/
rimuovere il componente incriminato e infine probabilmente reinstallare
tutto da zero, per poi reinserire gli articoli manualmente dopo averli
controllati uno per uno.

Bye.
Ovlas
2016-03-28 12:34:49 UTC
Permalink
Raw Message
Post by Alessandro Pellizzari
Fare un backup dopo che ti hanno bucato non serve a niente. È come
conservare i virus per rimetterteli in circolo dopo che sei guarito
dall'influenza.
Il backup andava fatto prima, e ripristinata una copia pulita quando ti
sei accorto dell'intrusione.
Per fortuna ne ho uno anche appena precedente.
Post by Alessandro Pellizzari
Il modo giusto sarebbe cercare di capire come sono entrati, poi aggiornare/
rimuovere il componente incriminato
Purtroppo temo non sia nelle mie/nostre corde :-\
Post by Alessandro Pellizzari
e infine probabilmente reinstallare
tutto da zero, per poi reinserire gli articoli manualmente dopo averli
controllati uno per uno.
Grazie per le indicazioni.
--
O.
Ovlas
2016-03-28 12:53:14 UTC
Permalink
Raw Message
Post by Alessandro Pellizzari
Fare un backup dopo che ti hanno bucato non serve a niente. È come
conservare i virus per rimetterteli in circolo dopo che sei guarito
dall'influenza.
Ho provato a fare dei giri con diversi tool (antivirus, anti-malware, da
pennette sicuramente ok) sui file del sito ma non rilevano nulla di che.

Questa informazione può essere utile?
--
O.
Andrea D'Amore
2016-03-28 13:04:47 UTC
Permalink
Raw Message
Post by Ovlas
È come conservare i virus per rimetterteli in circolo dopo che sei guarito
dall'influenza.
Ho provato a fare dei giri con diversi tool (antivirus, anti-malware,
da pennette sicuramente ok) sui file del sito ma non rilevano nulla di
che. Questa informazione può essere utile?
No, quella di Alessandro era una analogia, non sono gli stessi "virus"
che colpiscono i computer quindi gli antivirus/malware che hai non
rileveranno nulla. Probabilmente sono state sfruttate vulnerabilità di
wordpress o di un suo plugin istallato, e queste sono a carico tuo;
meno probabilmente vulnerabilità del server web o suoi plugin, e queste
sono a carico di Aruba.

La soluzione corretta sarebbe andare a cercare gli elenchi delle
vulnerabilità per vedere quanto sei esposto, ma richiede tempo e
conoscenze.
La soluzione comune "spiccia" è "aggiorna tutto il possibile" nella
speranza che il codice nuovo sia meglio di quello vecchio, o comunque
di stare un passo avanti ai programmi che sfruttano automaticamente le
vulnerabilità.

Se non avete una frequenza di aggiornamento elevata vedi la discussione
recente su Jekyll in cui si parla di un plugin WP per generare un sito
statico.
--
Andrea
Ovlas
2016-03-28 13:21:00 UTC
Permalink
Raw Message
Post by Andrea D'Amore
Post by Ovlas
Ho provato a fare dei giri con diversi tool (antivirus, anti-malware,
da pennette sicuramente ok) sui file del sito ma non rilevano nulla di
che. Questa informazione può essere utile?
No, quella di Alessandro era una analogia, non sono gli stessi "virus"
che colpiscono i computer quindi gli antivirus/malware che hai non
rileveranno nulla. Probabilmente sono state sfruttate vulnerabilità di
wordpress o di un suo plugin istallato, e queste sono a carico tuo; meno
probabilmente vulnerabilità del server web o suoi plugin, e queste sono
a carico di Aruba.
Ah, grazie per la precisazione.
Post by Andrea D'Amore
La soluzione corretta sarebbe andare a cercare gli elenchi delle
vulnerabilità per vedere quanto sei esposto, ma richiede tempo e
conoscenze.
La soluzione comune "spiccia" è "aggiorna tutto il possibile" nella
speranza che il codice nuovo sia meglio di quello vecchio, o comunque di
stare un passo avanti ai programmi che sfruttano automaticamente le
vulnerabilità.
Dalla bacheca di wordpress non risulta niente di aggiornabile (ogni
volta aggiorniamo quando ci viene segnalato).
Post by Andrea D'Amore
Se non avete una frequenza di aggiornamento elevata vedi la discussione
recente su Jekyll in cui si parla di un plugin WP per generare un sito
statico.
Insomma... si pubblicano ogni tanto articoli... ora mi informo per
capirci qualcosa.
--
O.
Gabriele - onenet
2016-03-28 15:08:08 UTC
Permalink
Raw Message
Post by Ovlas
Post by Alessandro Pellizzari
Fare un backup dopo che ti hanno bucato non serve a niente. È come
conservare i virus per rimetterteli in circolo dopo che sei guarito
dall'influenza.
Ho provato a fare dei giri con diversi tool (antivirus, anti-malware, da
pennette sicuramente ok) sui file del sito ma non rilevano nulla di che.
Questa informazione può essere utile?
Installa il plugin WordFence e fagli fare una scansione approfondita (leggi la
guida prima), ti dirà quali componenti nel tuo sito non sono uguali a quelli
ufficiali mostrandoti le differenze.

Vanno subito cambiate le password di:
- accesso al sito
- accesso al DB
- accesso FTP
- accesso cPanel (o quel che usa Aruba)

E verifica i permessi per i file vitali come .htaccess e config.php

Inoltre la scansione antivirus la dovresti eseguire sui PC di tutti coloro che
hanno accesso di admin a questo sito.


Buona Pasquetta!

Gabriele
Ovlas
2016-03-28 15:28:01 UTC
Permalink
Raw Message
Post by Gabriele - onenet
Installa il plugin WordFence e fagli fare una scansione approfondita
(leggi la guida prima), ti dirà quali componenti nel tuo sito non sono
uguali a quelli ufficiali mostrandoti le differenze.
Grazie, nessun problema rilevato, a eccezione di cambiamenti nel file
wp-config-sample.php (ma vedendo come è cambiato il file, si tratta di
cambiamenti di lingua - l'originale era in inglese e i cambiamenti
segnalati riguardano solo l'italiano).
Post by Gabriele - onenet
- accesso al sito
- accesso al DB
- accesso FTP
- accesso cPanel (o quel che usa Aruba)
Ok.
Post by Gabriele - onenet
E verifica i permessi per i file vitali come .htaccess e config.php
Esattamente cosa va fatto?
Post by Gabriele - onenet
Inoltre la scansione antivirus la dovresti eseguire sui PC di tutti
coloro che hanno accesso di admin a questo sito.
Ok
Post by Gabriele - onenet
Buona Pasquetta!
Ricambio e ringrazio!!!
--
O.
rootkit
2016-03-28 16:47:28 UTC
Permalink
Raw Message
Post by Ovlas
Basta così (a me altro non viene in mente)?
è abbastanza probabile che abbiano approfittato di un bug/vulnerabilità
di un plugin. direi che una delle cose più urgenti da fare è la bonifica
e aggiornamento dei componenti di wp, se non vuoi ritrovarti di nuovo
attaccato nel giro di poco tempo.
cursum perficio
2016-03-28 17:26:16 UTC
Permalink
Raw Message
Post by rootkit
Post by Ovlas
Basta così (a me altro non viene in mente)?
è abbastanza probabile che abbiano approfittato di un bug/vulnerabilità
di un plugin. direi che una delle cose più urgenti da fare è la bonifica
e aggiornamento dei componenti di wp, se non vuoi ritrovarti di nuovo
attaccato nel giro di poco tempo.
può dire l'op quali plugin aveva installati?
Ovlas
2016-03-28 17:46:30 UTC
Permalink
Raw Message
Post by cursum perficio
può dire l'op quali plugin aveva installati?
Advanced Image Styles
Announcement and vertical scroll news
Back to top
Better delete revision
Contact Form 7
Easy random quote
Google analytics by yoast
Google xml sitemaps
Notifica cookie
Platinum seo pack
Simple social share
Wordfence security
Wordpress Database Backup

(nessuno segnala la necessità di essere aggiornato)
--
O.
cursum perficio
2016-03-28 18:43:07 UTC
Permalink
Raw Message
Post by Ovlas
Post by cursum perficio
può dire l'op quali plugin aveva installati?
Wordfence security
incoraggiante...
Ovlas
2016-03-28 20:05:06 UTC
Permalink
Raw Message
Post by cursum perficio
incoraggiante...
L'ho installato oggi pomeriggio seguendo il consiglio di "Gabriele -
Onenet".
--
O.
cursum perficio
2016-03-28 21:11:41 UTC
Permalink
Raw Message
Post by Ovlas
Post by cursum perficio
incoraggiante...
L'ho installato oggi pomeriggio seguendo il consiglio di "Gabriele -
Onenet".
ah, ecco, ora va meglio
farsi bucare con quel plugin di sicurezza abilitato non era il massimo
dell'allegria
Gabriele - onenet
2016-03-29 09:51:51 UTC
Permalink
Raw Message
Post by rootkit
Post by Ovlas
Basta così (a me altro non viene in mente)?
è abbastanza probabile che abbiano approfittato di un bug/vulnerabilità
di un plugin. direi che una delle cose più urgenti da fare è la bonifica
e aggiornamento dei componenti di wp, se non vuoi ritrovarti di nuovo
attaccato nel giro di poco tempo.
Però lui dice che teneva aggiornati i vari plugin, quindi IMHO è più probabile che:
A) password deboli (WP o FTP);
B) computer con trojan e password soffiate.

C'è anche una terza ipotesi, essendo su Aruba e immagino shared hosting...

Gabriele
Ovlas
2016-03-29 15:13:35 UTC
Permalink
Raw Message
Post by Gabriele - onenet
A) password deboli (WP o FTP);
Potrebbe essere (WP), quindi cambiata (quella FTP non mi pare così debole).
Post by Gabriele - onenet
B) computer con trojan e password soffiate.
Il mio è risultato pulito, devo controllare quello di un'altra persona.
Post by Gabriele - onenet
C'è anche una terza ipotesi, essendo su Aruba e immagino shared hosting...
Ossia? Quei puntini non mi fanno pensare a nulla di buono...
--
O.
Albyus
2016-05-19 18:36:47 UTC
Permalink
Raw Message
Post by Ovlas
Post by Gabriele - onenet
A) password deboli (WP o FTP);
Potrebbe essere (WP), quindi cambiata (quella FTP non mi pare così debole).
Post by Gabriele - onenet
B) computer con trojan e password soffiate.
Il mio è risultato pulito, devo controllare quello di un'altra persona.
Post by Gabriele - onenet
C'è anche una terza ipotesi, essendo su Aruba e immagino shared hosting...
Ossia? Quei puntini non mi fanno pensare a nulla di buono...
se ti consola ci siamo accorti anche noi della stessa cosa, codici di
pagine pene di link a viagra, cialis etc etc... anche noi con wordpress
e aruba :-(
CIao

Loading...