• Salve a tutti,
    da un po’ di tempo trovo nell’ elenco delle Ultime Provenienze nel back office link
    abbastanza strani come:

    ferentino.org/system_info.php.suspected
    ferentino.org/logo_img.php.suspected
    ferentino.org/wp-includes/logo_img.php.suspected

    questi portano chiaramente a delle pagine vuote ma, da cosa sono generati?
    Ne sapete qualcosa?

    • Questo topic è stato modificato 7 anni, 2 mesi fa da Andrea Barghigiani. Motivo: Trasformate URL in semplice testo
Stai visualizzando 6 risposte - dal 1 al 6 (di 6 totali)
  • Moderatore Guido Scialfa

    (@wido)

    Ciao @mrzpro,

    Quali plugins di sicurezza hai attivi nel sito? quel .suspected mi fa pensare che un plugin abbia messo in quarantena dei files pensando che abbiano codice malevolo. Il suffisso serve ad evitare che lo script venga eseguito.

    Per “ultime provenienze” inoltre cosa intendi?

    Ciao @mrzpro,
    onestamente non conosco la configurazione del tuo server o della tua installazione WordPress ma quelli non sembrano file WordPress, soprattutto il wp-includes/logo_img.php.suspected.

    Il mio consiglio è accedere al tuo account FTP e rimuovere quei file dal tuo server. Il fatto che siano pagine vuote non è assolutamente una caratteristica che porta a dire “per fortuna non è successo niente” perché il PHP, linguaggio con il quale sono scritti questi file, agisce sul server dove è il tuo sito web.

    Se qualcuno chiama questi file, probabilmente sta facendo delle operazioni e dubito che siano lecite.

    Una volta rimossi questi file cambia tutte le password comprese WordPress, FTP, pannello di amministrazione, connessione database ecc…

    Infine assicurati di avere tutta la tua installazione WordPress aggiornata e di non utilizzare temi o plugin scaricati da terzi.

    Con questo dovresti tornare padrone del tuo server e non veder più apparire questi file.

    Spero di averti aiutato e a presto,
    Andrea

    Chi ha creato la discussione mrzpro

    (@mrzpro)

    Ciao Guido e Andrea,
    il plugin di sicurezza è iThemes Security.
    Nessuno di quei file è presente sul server…

    Mi sembra tutto così strano

    continuo ad indagare

    Grazie

    Moderatore Guido Scialfa

    (@wido)

    Ciao @mrzpro,

    Prova ad utilizzare WordFence https://wordpress.org/plugins/wordfence/ e fai uno scanning, vedi se esce qualcosa.

    Chi ha creato la discussione mrzpro

    (@mrzpro)

    Ciao, wordfence non rileva nulla e, nel frattempo sono arrivati link come questo:
    /ferwp/wp-content/uploads/2014…
    che sembrerebbe indicare un tentativo di accesso nel wp-content/uploads etc etc

    Moderatore Guido Scialfa

    (@wido)

    Non so in merito al link che indichi ma a questo punto conviene che fai un backup,

    Rimuovi i files dall’ftp e li ricarichi exnovo per quanto riguarda WordPress, riguardo invece ai files interni a wp-content ci vorrebbe da far fare uno scanning e dove è possibile riscaricare nuovamente i plugins ed i temi e caricarli via ftp così che i sorgenti siano puliti.

    Per la directory di upload, una ricerca a tappeto di eventuali files che possono contenere scripts php o di altro tipo. Ad esempio verifica che non ci siano files .php, bash .sh o che altro al suo interno, non sai mai che tipo di attacco puoi avere, se lato Wp o da un server compromesso. (Ipotizzo).

    Una ricerca anche di eval e/o cose come = $_POST = $_GET per eventuali assegnazioni di valori sui files di plugins e temi. Per i files di Wp una volta reinstallati non mi preoccuperei molto.

    Il controllo del database è una pratica che dovrebbe essere fatta, quanto meno per capire se il problema risiede anche lì o meno. Se incontri contenuti come ad esempio scripts interni al contenuto del post, la tabella post_content, url guid con parametri aggiuntivi non propriamente consoni.

    Inoltre per approfondire cercherei anche in rete questa cosa dei files con suffisso .suspected ed andrei a leggere i forum di supporto dei plugins e del tema in uso.

    Una volta reinstallato tutti i sorgenti puliti provvederei all’installazione di WordFence e metterei in sicurezza alcune cose per il CSRF, CSP, aggiunta della lista delle botnet conosciute, fare in modo che la directory di upload non possa eseguire scripts php etc… alcune cose le fai con il plugin sopra indicato altre invece puoi vederle qui https://pastebin.com/u/hackrepair come ad esempio la lista dei bad ip https://pastebin.com/5Hw9KZnW

    Successivamente, bloccherei alcune cose di WordPress ad esempio, hai necessità che le rest api siano accessibili? Necessità che XMLRPC sia attivo? Puoi disattivare anche la registrazione da wp-admin con https://wordpress.org/plugins/disable-wp-registration-page/ e/o https://wordpress.org/plugins/disable-register/ che ti previene anche l’accesso e l’invio di query strings alla pagina wp-login.php.

Stai visualizzando 6 risposte - dal 1 al 6 (di 6 totali)
  • Il topic ‘Strani Link di provenienza’ è chiuso a nuove risposte.