Supporto » Fixing WordPress » Javascript: webmining.co

  • Risolto Robbys

    (@robbys)



    Salve, SICURI ha rilevato un malware nel sito e nel dettaglio segnala ” Javascript: webmining.co “….in effetti navigando nel sito AVG professional mi segnala js CriptoMiner-a…sembrerebbe uno script relativo ad una cripto valuta collegata al sito Coinhive.com. Ho analizzato il sito con Cerber, Wordreference, Anti-Malware ma non riescono ad individuarlo….
    Qualcuno ha avuto esperienze simili…sapete come come rimuoverlo?
    grazie per l’aiuto

Stai vedendo 4 repliche - dal 1 al 4 (di 4 totali)
  • luca21

    (@luca21)

    ciao,
    se non viene individuato dai plugins antimalware dev’essere qualcosa di nuovo. Dal nome sembra fare bitcoins a spese del tuo server.
    Per trovarlo puoi anche usare la funzione di ricerca di Filezilla. E’ molto lenta ma trova.
    Però non basta trovare e cancellare webmining.co perché probabilmente esiste nel tuo sito anche uno script che lo ricostruisce o ne fa un nuovo download se viene cancellato. Bisogna anche trovare quest’ultimo script, che poi potrebbe non essere in copia unica ma numerosi e nidificati in fondo alle normali cartelle del sito.

    Robbys

    (@robbys)

    Grazie!! Ho scaricato il sito in locale per fare una ricerca sul codice più veloce ma ho provato con webmining, mining, coinhive…e con queste non vien fuori nulla non sapendo con quale termine cercare è un po dura…qualche idea?
    Ho fatto anche ricerca anche sul DB e sulla tabella Wp_posts ho trovato 47 corrispondenze con il termine mining così: SELECT * FROMSql47xxxx.wp_postsWHERE (CONVERT(IDUSING utf8) LIKE '%mining%' OR CONVERT(post_authorUSING utf8) LIKE '%mining%' OR CONVERT(post_dateUSING utf8) LIKE '%mining%' OR CONVERT..... ma non capisco se possono essere legati all’infezione o meno

    • Questa risposta è stata modificata 1 mese fa da  Robbys.
    • Questa risposta è stata modificata 1 mese fa da  Robbys.
    luca21

    (@luca21)

    Ok, le cose facili le hai fatte tutte. A questo punto individuare la criticità diventa impossibile da un forum, penso.
    Diventa un bel problema perché Sucuri ha le sue ragioni per averti fatto la segnalazione e il sito non si può lasciare così, perché alla lunga corre il rischio di avere una pessima classificazione, o di essere addirittura bannato.
    Se hai un backup pulito potresti ripristinare il sito a quella data e passare ad https se già non c’è. https serve ad avere una certa sicurezza circa l’identità di chi chiama il sito e il numero delle stringhe farlocche che viene inviato cala di colpo.
    L’infezione è probabilmente avvenuta con una sql-injection, ovvero inviandoti una stringa malevola che non è stata riconosciuta e neutralizzata. Puoi installare un plugin firewall. Anche Sucuri ha un plugin firewall per wp, però la funzione che intercetta le sql-injection fa parte del pacchetto pro, purtroppo. Dal nome del database mi sembra che sei su Aruba; probabilmente anche loro possono metterti un firewall ben fatto, anche più veloce di un plugin perché se ne starebbe ad un livello sopra il sito.
    Tienici informati.

    Robbys

    (@robbys)

    Grazie ancora…alla fine ho scoperto il codice che in effetti era stato aggiunto proprio nei POST indicati nel DB….ma erano stati aggiunti volontariamente da un altro gestore del mio sito a mia insaputa….ahi ahi!! beccato!….comunque chiarito ed eliminato
    grazie ancora

Stai vedendo 4 repliche - dal 1 al 4 (di 4 totali)
  • Devi essere collegato per rispondere a questo topic.