Supporto » Varie ed eventuali » Sito infetto

  • Buonasera, ho scoperto un file infetto nel cpanel e oggi non riesco ad accedere in wordpress (dove ho i backup). Cosa devo fare?
    Grazie

Stai visualizzando 12 risposte - dal 1 al 12 (di 12 totali)
  • Che intendi per file infetto?

    Chi ha creato la discussione pasionvi

    (@pasionvi)

    Questo: FallaGassrini/.htaccess!

    Perché dici che è infetto? Devi spiegarti meglio: riesci a fare login?

    Chi ha creato la discussione pasionvi

    (@pasionvi)

    In questo momento non riesco più ad entrare in wordpress. É segnalato nel Cpanel ‘ImunifyAv’ Infetto oltre ad aver ricevuto emails dall’hosting che lo indicavo. Se non recupero il backup perderò tutto

    Metti il link del tuo sito

    Ciao @pasionvi ,

    Questo: FallaGassrini/.htaccess!

    Conosco i FallaGassrini.
    Alcuni anni fa hanno impallinato anche me.
    Se non erro dovrebbe essere un gruppo tunisino. Almeno lo sembrano esaminando un po’ gli IP di provenienza dell’infezione.
    Sono pestiferi e anche bravi purtroppo. Il sito potrebbe essere danneggiato in profondità.

    Chi ha creato la discussione pasionvi

    (@pasionvi)

    Si sono della Tunisia. Ho un backup sul pc di un anno fa e in wordpress anche più aggiornato ma non riesco ad accedervi..
    Grazie

    Ciao @pasionvi ,
    Sei messo abbastanza bene mi pare.

    Il backup sul pc c’è ed è accessibile. Bene.

    Il backup su wordpress dovrebbe essere anche lui accessibile via ftp.

    Esempio: Se avessi fatto un backup usando “Duplicator” lo troveresti dentro la cartella “/wp-content/backups-dup-lite/”. 5 files, un .log, uno .zip, un .sql, un .php e uno .json .
    Eseguendo un accesso via ftp si possono scaricare e salvare sul pc.
    Se hai fatto il backup con altri metodi devi rifarti alla documentazione del plugin / script che hai usato.
    Attenzione che il backup su wordpress non sia così recente da essere una copia del sito già infetto.

    Il fatto che tu non possa accedere al backend di wp non è un problema, anzi. Se tu facessi un ripristino dal backend ti ritroveresti dopo pochi giorni nella stessa situazione di adesso, con ogni probabilità.
    Il motivo è dovuto al fatto che un ripristino di norma non va a toccare file che non lo riguardano. L’infezione, invece, ha quasi sicuramente iniettato decine di file di script che non verrebbero minimamente disturbati da un ripristino fatto dal backend.

    Questi script ben nascosti in mezzo alle migliaia di wp sarebbero sicuramente chiamati e fatti eseguire dal server di FallaGassrini entro pochi giorni. E’ sufficiente che se ne salvi uno dalla tua pulizia / ripristino . Questo unico script residuo, una volta eseguito riporta il tuo sito nella condizione odierna. Pari Pari.

    Il ripristino del sito dovrebbe essere eseguito come una migrazione.

    Tutti i file e le cartelle esistenti dovrebbero essere cancellati. Tranne quella principale, ovvio.
    Tutte le tabelle del database dovrebbero essere cancellate.

    Se il backup fosse stato fatto con “Duplicator” allora dopo la cancellazione di tutto bisognerebbe caricare via ftp, nella cartella principale, i 5 file che hai salvato sul pc. In realtà ne bastano tre, lo zip , il .sql e l’installer php ma non voglio provocare confusione.
    L’ installer php potrebbe avere un nome più grande, con data e chiavi. Lo si rinomina in installer.php
    Dopo di che è sufficiente chiamare con un browser https://tuosito/installer.php
    E il sito ritorna a casa.

    Attenzione. Comunque tu faccia il ripristino è necessario individuare il buco da dove sono passati, altrimenti dopo pochi giorni ti ritrovi nella situazione di adesso.

    Il “buco” si deve probabilmente ad un plugin poco sicuro.

    Una volta trovato potresti cortesemente postare qui il nome del plugin difettoso, o comunque il nome del plugin che ti dà più sospetti.

    Ciao.

    Ah naturalmente, ricordarsi di cancellare i file di backup dopo il ripristino.

    Ciao

    Ripensandoci forse è meglio che il nome del plugin poco sicuro non lo posti affatto.

    Ciao

    Chi ha creato la discussione pasionvi

    (@pasionvi)

    Ti ringrazio tantissimo per le tue risposte super dettagliate e precise e mi hai dato anche una speranza per recuperare il mio sito Travel. Posso chiederti lavori in questo settore o sei un appassionato?

    Ciao

    Ciao @pasionvi ,

    la passione non manca di certo, comunque sono un professionista.

    Ci sentiamo 🙂

Stai visualizzando 12 risposte - dal 1 al 12 (di 12 totali)
  • Devi essere collegato per rispondere a questo topic.