Supporto » Varie ed eventuali » Malware nella cartella wp-includes/Requests/Proxy

  • Risolto fabio50

    (@fabio50)


    Ho installato WordPress 4.7.3 con il tema Nirvana sul mio sito http://www.fabiopiferi.it.
    Tutto sembrava funzionare regolarmente sino a qualche mese fa.
    Mi arrivano continue segnalazioni da aruba che nella cartella:
    wp-includes/Requests/Proxy
    si trovano files che contengono virus o malware.
    Ho aggiornato wodpress e tutti i plugin, eliminato i files segnalati, ho eliminato quasi tutti i plugin di wordpress tranne 3-4 compatibili con la versione attuale e perfettamnete funzionanti con un altro sito wodpress che gestisco.
    Ho modificato e potenziato sia password di worpress che quella di amministrazione di aruba.
    Il problema non sembra ancora risolto.
    Non ho più idee su come intervanire.
    Qualcuno conosce o ha la soluzione del problema?

Stai visualizzando 11 risposte - dal 1 al 11 (di 11 totali)
  • Moderatore Cristiano Zanca

    (@cristianozanca)

    Salve @fabio50 ,

    prima di fare ogni modifca al sito fare un BACKUP

    il consiglio è di fare un Aggiornamento Manuale in modo da avere una installazione pulita, senza cartelle/file che non fanno parte di WP.

    per aumentare la sicurezza installare un plugin adatto:

    https://wordpress.org/plugins/search/security/

    Ciao @fabio50,
    come ti ha già indicato @cristianozanca la soluzione migliore è quella di fare un aggiornamento manuale, ovvero scaricare nuovamente l’ultima versione WordPress e importare tutti i file contenuti all’interno dell’archivio sovrascrivendo quelli esistenti sul tuo hosting con FTP.

    Fatto questo ti consiglio di installare il plugin iThemes Security (semplice da utilizzare) oppure il WordFence Security (dall’interfaccia meno intuitiva ma altrettanto potente). Successivamente fai degli scan della tua cartella con Sucury ed installa il loro plugin perché ho l’impressione che tra i tuoi file siano presenti alcuni modificati che hanno dei malware.

    Fatte queste operazioni facci sapere come sono andate le cose e se uno di questi plugin ti ha segnalato delle irregolarità all’interno della tua installazione.

    Grazie intanto per la tua partecipazione e a presto,
    Andrea

    PS: mi raccomando una cosa: non utilizzare plugin o temi scaricati in modo illegale. Bisogna fare sempre molta attenzione perché nel 99% dei casi il codice che scarichiamo viene modificato dall’originale per inserire codice malevolo. Se questo non dovesse essere il tuo caso meglio così, ho sentito il dovere di far presente questa cosa 😉

    Chi ha creato la discussione fabio50

    (@fabio50)

    Ciao, grazie per il supporto, proverò a mettere in atto i consigli uno per volta.

    Plugin installati: Anti-Spam Akismet, Cryout Serious Theme Settings, NextGEN Gallery, TinyMCE Advanced. Tema Nirvana, il tutto compatibile e aggiornato.
    Ho dovuto aggiungere, oltre a quelle di wordpress, altre cartelle con files, documenti e immagini che sono il frutto di lavoro di circa 15 anni di un sito realizzato con Frontpage.
    Avevo già diversi backup su hard disks esterni.

    Mi sono trovato un utente wp.service.controller.5qOOJ con il ruolo di amministratore! L’ho cancellato subito. Poteva entrare con la sua password?
    Il sito ha un solo utente, il sottoscritto, come è possibile sia successo?

    Comunque avevo cambiato le password di wordpress e di aruba, spero che il fattaccio sia avvenuto prima.

    Se il problema si ripresenta, ho in mente di togliere tutto quello che non è wordpress dal sito e utilizzare poi volta per volta quello che mi serve dal locale.

    Poi farò l’installazione manuale via FTP sovrascrivendo i files esistenti, poi attiverò un pluging di sicurezza tra quelli suggeriti.

    Grazie ancora a Cristiano ed ad Andrea, vi terrò informati degli sviluppi.

    @fabio50 è un piacere poterti essere stati utili però vorrei anche affrontare un punto tra le cose che hai scritto.

    Poco fa hai detto che la tua installazione WordPress ha un unico utente, giusto? Quindi presumo che tu faccia qualsiasi operazione con questo utente, oltre agli aggiornamenti e alle varie installazioni svolgi anche tutte le operazioni editoriali.

    Se così fosse vorrei scoraggiarti molto dal farlo perché chiunque visita il tuo sito potrà conoscere molte informazioni relative all’amministratore della propria installazione che è meglio tenere per sè.

    Tutto quello che dovrai fare è creare un nuovo utente amministratore con un nome utente e una password (entrambi) molto forti. Una volta fatto questo declassifica il tuo utente odierno e passalo come Editore.

    L’utente amministratore, quello rimasto con nome utente e password forti, lo utilizzerai di tanto in tanto per fare gli aggiornamenti mentre con l’utente di ruolo editore potrai modificare e creare qualsiasi tipo di pagina che desideri. In questo modo, anche se qualcuno dovesse essere in grado di scoprire le credenziali di accesso di questo utente non avranno mai accesso alla gestione degli utenti, dei plugin e dei temi installati e non potranno creare un utente amministratore per i propri scopi 😉

    Talvolta siamo noi stessi il miglior firewall in circolazione.

    Ti auguro una buona avventura per la disinfettazione e non esitare a tornare su queste pagine per farci sapere come è andata.
    Andrea

    Chi ha creato la discussione fabio50

    (@fabio50)

    Grazie Andrea Barghigiani (@pr0v4)
    avevo già provveduto a creare una password molto più sicura, proverò anche la soluzione di creare un altro utente amministratore e declassificare ad editore l’originale.
    Ho un altro sito wordpress molto più complesso e attivo che gestisco con lo stesso PC: http://www.sentieroverde.org/wordpress/ che invece va alla grande senza spam e/o malware.
    DA questo sito, mi sono accorto che in wp-config.php non avevo aggiornato e modificato le originali Chiavi Univoche di Autenticazione e di Salatura.
    Ovviamente ho provveduto subito.

    Vi terrò aggiornati sulla evoluzione del problema, magari potrebbe essere utile a qualcun altro.

    • Questa risposta è stata modificata 4 anni, 5 mesi fa da fabio50.
    Chi ha creato la discussione fabio50

    (@fabio50)

    Ho creato un nuovo utente amministratore e declassato ad editore il precedente.
    Con il ruolo di editore posso solo rare nuovi articoli o nuove pagine, ma non nuove gallerie di immagini. Inoltre con il ruolo di editore non si ha accesso ai plugin, né tantomeno caricarne di nuovi.
    Il problema si era riproposto anche con l’altro sito, un mio amico fidato registrato come editore non poteva creare nuove gallerie. Ho dovuto cambiare il suo ruolo in amministratore.

    Ci sono altre soluzioni?
    In caso negativo non so se vale la pena mantenere i due utenti.

    Ciao @fabio50,
    l’approccio di avere un Editore è proprio questo. Proprio dal nome di questo ruolo si capisce che tutto il suo potere viene delegato alla gestione editoriale della piattaforma e proprio per questo non gli è possibile installare plugin o temi…

    Onestamente non capisco la difficoltà nella creazione delle gallerie…

    È un plugin esterno oppure è la funzionalità interna a WordPress che stai cercando di utilizzare e per qualche strano motivo non funziona? Se fosse la prima le soluzioni sono due:

    • o entri come amministratore ogni volta che devi creare una nuova gallerie, salvi ed esci
    • oppure con plugin come Members aggiungi le capability necessarie per la creazione della galleria al tuo utente Editore e il gioco è fatto

    Ovviamente tutto questo dipende da quanto di frequente hai bisogno di creare una galleria. Se si tratta di un’attività che svolgi un paio di volte al mese io lascerei tutto in mano all’amministratore ma se più frequente allora renderei più potente il mio Editore.

    Rispondendo invece al tuo ultimo commento: “non so se vale la pena mantenere due utenti” la mia risposta è assolutamente sì!

    Non è tanto un carico o qualcosa che puoi evitare, se vuoi mantenere il tuo sito più al sicuro possibile da attacchi (oltre a seguire i suggerimenti precedenti) essere in grado di mantenere il nostro amministratore il più nascosto possibile è un altro vantaggio che non possiamo ignorare.

    Comprendo che la creazione di gallerie può essere un fattore importante, ma al posto di “promuovere” un utente ad Amministratore io aggiungerei le capability necessarie ma manterrei l’Editore soltanto in grado di gestire la parte editoriale del mio blog.

    So che possono sembrare soltanto pensieri complicati, ma è la stessa cosa che facciamo tutti quelli che tengono alla sicurezza della propria piattaforma (o almeno quelli che conoscono questa possibilità).

    Lo scopo di avere un Editore che non ha poteri sulla gestione della piattaforma (utenti, temi e plugin principalmente) ci mantiene al sicuro perché anche se qualcuno sarà in grado di rubare le credenziali di questo utente, una volta entrato non potrà fare niente di grave, alcune delle cose che non potrà fare:

    • creare nuovi utenti per i propri scopi
    • installare plugin malevoli o modificarli
    • modificare i file del tema per aggiungere il proprio codice
    • ottenere le credenziali del database…

    Sono sicuro che ci sono molti altri tipi di attacchi dai quali ci potremmo proteggere se utilizziamo il nostro Editore come utente pubblico 😉

    Spero di aver chiarito meglio la situazione e la necessità di mantenere due utenze distinte. Non esitare a rispondere se rimasto con qualche dubbio.
    Andrea

    Chi ha creato la discussione fabio50

    (@fabio50)

    Ok, mi hai convinto. Lascerò le cose come stanno, ini fondo non devo creare gallerie tutti i giorni.
    Intanto, nonostante queste operazioni, continuano le segnalazioni da aruba.
    Qusta volta è stato infettato: /wp-content/themes/twentythirteen/images/menu.php
    Ho cancellato tutti i temi non utilizzati, ma ovviamente non può essere questa la soluzione.
    Non ho idea dove sia la “falla” che consente a qualche disgraziato di entrare nel sito e modificare i files php a suo piacere.
    Ho cambiato la password aruba, ho cambiato il ruolo dell’utente installatore, ma l’infezione non si ferma …
    Non riesco ad aggiornare wp alla versione 4.7.4, mi si chiede ogni volta la password di aruba e poi si genera l’errore: “Impossibile trovare la directory principale di WordPress”.
    Darò un’occhiata al file wp-config.
    Poi mi sa che sarò costretto a cancellare tutto e ripartire da zero.

    *** Per ora grazie a tutti ***

    Chi ha creato la discussione fabio50

    (@fabio50)

    ho provveduto ad eliminare in ftp un file che conteneva malware e la cartella che lo conteneva. Entrambi erano residui di una applicazione disinstallata, ma non completamente eliminata nelle sue componenti.

    Ho provveduto anche alla creazione di un nuovo utente con password sicura per l’amministrazione di wordpress. Allo stesso tempo l’utente di installazione è stato privato del ruolo di amministrazione.
    Finalmente son riuscito ad installare gli ultimi aggiornamenti di wordpress che dovrebbero rendere il mio sito più resisistente agli attacchi esterni.

    Complimenti @fabio50,
    fa piacere vedere che dopo tanta insistenza il problema sia stato risolto e anche se hai aggiornato WordPress all’ultima versione, cosa che comunque ti aiuterà a mantenere il tuo sito al sicuro, non dimenticarti della base 😉

    Ora che hai un amministratore dedicato alla gestione del sito (forse prima non te l’ho detto ma è meglio evitare nomi come admin o administrator, scusa per questa mancanza) hai sicuramente innalzato la sicurezza della tua installazione.

    Ultima cosa poi ti lascio libero e segno questa discussione come risolta, assicurati di installare i plugin e i temi soltanto da fonti affidabili. Non voglio accusarti di niente ma fin troppo spesso vedo a giro dei siti che regalano o vendono a prezzi scontatissimi plugin o temi WordPress il cui prezzo originale è molto più alto.

    Ebbene, a meno che tu non voglia passare un pomeriggio a studiare il codice del plugin/tema scaricato, è sempre meglio acquistarli o ottenerli direttamente dal creatore, anche perché assieme al prezzo è incluso il supporto 😉

    Detto questo ti auguro un buon proseguimento e non esitare a passare nuovamente da questo forum per chiedere aiuto o aiutare gli altri utenti WordPress.

    A presto,
    Andrea

    Chi ha creato la discussione fabio50

    (@fabio50)

    Andrea, grazie per il supporto, non sono ancora sicuro al 100% che il problema sia risolto definitivamente, per ora incrocio le dita.
    Ho seguito il tuo consiglio ed il nome del nuov amministratore è quasi una password.
    Ho lasciato solo plugins Anti-Spam Akismet e Cryout Serious Theme Settings, almeno questi spero non creino problemi.
    Dopo aver elminato un plugin per le gallerie, ho usato le gallerie di wordpress, semplici, ma efficaci, ogni galleria un post ed è anche facilmente modificabile, meglio del plugin.
    Ho creato una pagina per raccogliere i post delle gallerie.
    Dovrò trovare qualche soluzione per gestirla e presentarla al meglio, sarà di stimolo per utilizzare al meglio le funzionalità di wordpress.

    A presto,
    Fabio

Stai visualizzando 11 risposte - dal 1 al 11 (di 11 totali)
  • Il topic ‘Malware nella cartella wp-includes/Requests/Proxy’ è chiuso a nuove risposte.