Supporto » Varie ed eventuali » sito hackerato con redirect menu

  • danzugn

    (@danzugn)


    Buongiorno a tutte e tutti,
    ho un problemino con un sito che gestisco.
    Ormai sarà la 10° volta che viene creato un redirect di una delle voci del menu (non sempre la stessa) verso una cartella con lo stesso nome della voce del menu, che viene creata nella root del sito.
    Ho spostato la pagina di login, ho installato wordfence che non rileva niente di anomalo.
    Cosa posso fare?
    Grazie per i consigli
    dz

Stai visualizzando 5 risposte - dal 1 al 5 (di 5 totali)
  • luca21

    (@luca21)

    Ciao @danzugn ,

    hai appurato come viene fatta l’ alterazione?

    Se c’è un plugin debole o qualche altra cosa?

    Fino a che non elimini la falla ti rifaranno sempre lo stesso scherzo. Non è una cosa fatta manualmente. Con ogni probabilità c’è qualcuno che scansiona in maniera automatica e con costanza tutto il web, cercando di sfruttare una particolare debolezza.
    Meglio trovarla.

    Ciao!

    danzugn

    (@danzugn)

    Ciao Luca, grazie mille.
    Come faccio a capire come viene fatta l’alterazione?
    Potrebbe essere un bug del template?
    Grazie e buona serata

    luca21

    (@luca21)

    Ciao @danzugn ,

    Potrebbe essere un bug del template?

    Potrebbe essere qualsiasi cosa.
    Individuare i buchi a volte non è una cosa tanto facile.

    – Se hai installato un template o un plugin che è noto per avere delle falle hai trovato. Una semplice ricerca in rete.

    – Se hai accesso al file di log del server controlla gli accessi delle ore per le quali hai qualche sospetto. A volte si è fortunati.

    – Se la fortuna non c’è, come succede quasi sempre, procurati uno script – o un plugin, dovrebbero essercene – che faccia una scansione automatica giornaliera o più frequente dei file, delle cartelle e del database del sito. Una volta fatta la scansione dovrebbe segnalarti i file che sono stati modificati dall’ ultima volta che ha fatto la scansione. Un’ alterazione è in grado di modificare la data del file ma non penso che sia in grado di modificare anche la data della modifica della cartella. Se trovi cartelle modificate e non file con data modificata nella cartella, esamina tutti i file dentro la cartella sospetta.
    Penso che esistano anche script o plugin che esaminano i singoli file in cerca di codice critico, tipo istruzioni eval(); o simili.
    Prima di avviare la scansione periodica – cron job – disabilita tutti gli aggiornamenti automatici altrimenti da un giorno all’altro trovi sempre decine e anche centinaia di file legittimamente modificati che è inutile esaminare.
    I file modificati da guardare con più attenzione sono quelli .php naturalmente. Oltre ad aprirli con notepad, controlla anche se hanno lo stesso peso di quelli originali. Le alterazioni a volte fanno la furbata di inserire in una riga un mucchio di spazi bianchi e poi il codice malevolo. Guardando con notepad sembra che la riga sia terminata invece continua e poi trovi quel che non dovrebbe esserci.

    Insomma è un lavoro un po’ da certosini.
    Se, invece, trovi il modo di modificare radicalmente il sito in modo da essere sicuro, potrebbe essere più conveniente fare quello.
    Ciao!

    Ciao @danzugn,

    dai un’occhiata a questo articolo, ci sono una serie di suggerimenti che possono aiutare a capire meglio la situazione.

    Le prime cose che mi vengono in mente e che posso consigliarti:

    – controlla gli utenti di WordPress. Accertati che ci siano solo quelli “reali” che hai creato tu. Se ne trovi altri che non riconosci, eliminali. Per quelli effettivi magari cambia la password.

    – immagino tu abbia già aggiornato tutto (core, plugin, temi), ma verifica di non avere plugin o temi vecchi e non più mantenuti. Potrebbero contenere vulnerabilità non risolte. Può essere utile dare un’occhiata a questo sito: https://wpvulndb.com/. Contiente tutte le vulnerabilità conosciute di temi e plugin.

    – accedi via ftp alla cartella del sito e dai un’occhiata in giro partendo dalla root. Cerca cartelle o file con nomi strani, magari sequenze di caratteri casuali. Spesso questi file vengono “iniettati” tramite vulnerabilità del sito e fungono da backdoor. Se non eliminati continuano ad essere usati come punto di ingresso.

    – se hai Wordfence, guarda nella sezione Live Traffic se ci sono accessi a indirizzi particolari. Questo può aiutarti ad individuare file “estranei” come detto al punto precedente.

    Lo so, sembrano consigli “buttati a caso”, ma in certi casi bisogna andare un po’ per esclusione e restringere piano piano la ricerca.

    Facci sapere se scopri qualcosa.

    Ciao Andrea,
    grazie mille per i consigli.
    Purtroppo ho già provato tutto cio’ che mi hai consigliato.
    Il template non risulta vulnerabile, core e plugin sono tutti aggiornati, a parte WPBakery Page Builder, nessun utente sospetto e Wordreference non mi da’ indicazioni utili.
    Ora ho provato ad installare Sucuri…vediamo se riesco a capirci qualcosa in piu’.
    Grazie e Buona serata
    dz

Stai visualizzando 5 risposte - dal 1 al 5 (di 5 totali)
  • Devi essere collegato per rispondere a questo topic.