Attacco hosting consigli per pulire tutti i file

[giavara]

Ciao a tutti,
chiedo scusa se ho sbagliato la sezione, mi sembrava quella più giusta.

Ho un piano hosting shared da un'azienda italiana.
Il piano è multisito e ci sono circa una 20 di siti (wp e joomla)

I problemi sono cominciati (penso) dopo aver aggiunto alcuni siti comprati da altre persone.

Gli attacchi consistevano nel caricare i soliti file del tipo "hackerato da Nome-bimbominkia" riportando per lo più nomi e gruppi di indonesiani.

Ogni volta cercavo di cancellare tutti i file e cambiare le password.

Ora sono arrivato ad una situazione critica.
Ogni settimana scopro nuovi file, backend con pagina "hacked by...", addirittura (la cosa più pericolosa) script che invia email di pishing e PAGINE PER LA RACCOLTA DI dati sensibili (carte di credito)

Ieri i miei siti wp erano tutti sulla lista di iNDoNeSiaN DeFaCeR aRCHiVes

L'hoster ovviamente (e giustamente) dice che sono ca**i miei.

Io più di aggiornare i cms, mettere script per la sicurezza e cambiare pass non so che fare.

Penso che resti sempre qualche file sospetto che permettta loro di entrare.

Ora vi chiedo conlcudendo, come posso fare?
Scaricare tuti i file dei 20 siti e controllare uno a uno? O esiste un "antivirus"

Sono disposto a pagare per trovare una soluzione, se trovassi un tecnico lo ingaggerei subito.

Voi cosa fareste???

Grazie!

[dissident100]

Ciao a tutti,
chiedo scusa se ho sbagliato la sezione, mi sembrava quella più giusta.

Ho un piano hosting shared da un'azienda italiana.
Il piano è multisito e ci sono circa una 20 di siti (wp e joomla)

I problemi sono cominciati (penso) dopo aver aggiunto alcuni siti comprati da altre persone.

Gli attacchi consistevano nel caricare i soliti file del tipo "hackerato da Nome-bimbominkia" riportando per lo più nomi e gruppi di indonesiani.

Ogni volta cercavo di cancellare tutti i file e cambiare le password.

Ora sono arrivato ad una situazione critica.
Ogni settimana scopro nuovi file, backend con pagina "hacked by...", addirittura (la cosa più pericolosa) script che invia email di pishing e PAGINE PER LA RACCOLTA DI dati sensibili (carte di credito)

Ieri i miei siti wp erano tutti sulla lista di iNDoNeSiaN DeFaCeR aRCHiVes

L'hoster ovviamente (e giustamente) dice che sono ca**i miei.

Io più di aggiornare i cms, mettere script per la sicurezza e cambiare pass non so che fare.

Penso che resti sempre qualche file sospetto che permettta loro di entrare.

Ora vi chiedo conlcudendo, come posso fare?
Scaricare tuti i file dei 20 siti e controllare uno a uno? O esiste un "antivirus"

Sono disposto a pagare per trovare una soluzione, se trovassi un tecnico lo ingaggerei subito.

Voi cosa fareste???

Grazie!

non so quanto abbia ragione l'hoster, se i tuo cms erano up to date, sa tanto di code injection, e da qualche parte devono essere entrati.

cmnq su wp dai un occhio al wp-config e anche al function del tuo tema, e poi ovviamente fai una ricerca x url etc sul db.

su joomla non saprei ma credo che sia normale avere joomla bucato, quindi sei ok

[GrG]

Io controllerei uno per uno i files del sito. Scarichi WP pulito e usi la navigazione sincronizzata di Filezilla e vedi che ce la fai.

Ci son sistemi automatici ma son abbastanza incasinati.

[giavara]

@ dissident100
L'hoster ha sempre ragione! A parte gli scherzi i pacchetti in shared sono a tenuta "stagna".
Cioè se hanno bucato il mio spazio sono entrati solo dai miei siti.
Non voglio pensare che si deva rimanere in perenne attacco!
Un modo ci sarò di limitare al massimo ste robe.

@Grg
Perchè non ti sembra incasinato controllare uno ad uno i file di 20 siti??
E poi puoi controllare i file standard. Ma per i temi e i plugin?
Tipo l'ulltima volta avevo un file malevolo proprio su una cartella del tema..

Ritorno a chiede l'aiuto di un tecnico (pagato ovviamente!) !

Ciao!

[Uno]

Ma per i temi e i plugin?
Tipo l'ulltima volta avevo un file malevolo proprio su una cartella del tema..

Infatti se i software sono aggiornati spesso il problema è in qualche template free che si fa pagare in altro modo.
Fai un primo controllo sui sorgenti finali (intendo nel browser) di tutte le home di tutti i 20 siti (ci vogliono 20 minuti) se non trovi nulla di sospetto procederai con altro.

Se nel frattempo si propone qualcuno per farti il lavoro a pagamento buon per te e per lui/lei.

[webhostingperte]

Prova a dare un occhiata qui Website Malware Scanning, Detection & Monitoring

[giavara]

Grazie Uno per i consiglio, sicuramente darò un occhio ai siti come suggerisci tu.

Webhostingper te, grande!!! proprio quello che cercavo.
Ho già fatto la richiesta ma sono curioso di sentire quanto si fanno pagare.
Provato te?

Ciao!

[webhostingperte]

Io personalmente no, lo ha provato un mio cliente con ottimi risultati a sentire lui.

[giavara]

Per gli interessati globalsign.com (che si occupa di ssl) per questo servizio si affida a Armorize.

Questo è il software che verifica i tuoi siti e manda degli alert: Web Application Security with Static Source Code Analysis, Web Malware Detection and Web Application Firewalls (WAFs) - Armorize Technologies Inc.

Ciao!

[vhosting]

Ciao giavara, i log FTP li avete controllati? non e' che per caso entrano da FTP e non lo ha notato nessuno?

[giavara]

No non penso entrassere dall'ftp.
Sabato ho cambiato la pass generale di directadmin e dell' ftp (messa una da 16 caratteri casuali).

Oggi il nuovo attacco: hanno consumato troppe risorse al server... chissà cos'hanno combinato
Ora il piano è bloccato dall'hoster e non posso nemmeno più entrare nel pannello o nell'ftp per risolvere i problemi... sono veramente disperato...

[vhosting]

Tu pero' non hai modo di escluderlo ... fatti dare i log FTP del tuo account almeno cosi sei sicuro ed escludi una cosa.

[giavara]

Ok ora provo a chiederli.

Per la cronaca: Hanno tenuto disattivato i siti, sono arrivati alla conclusione che sono i miei siti. E mi consigliano di trovare un altro fornitore....

Cavoli devo avere proprio la peste in quei siti....
non mi capacito proprio, ho fatto sempre tutto seguendo consigli e buon senso.....
Booooohhhhhh....

[giavara]

Bravo vhosting!
Sono passati anche per ftp e hanno caricato il macello.

Sembrava impossibile eppure....

Adesso vediamo se riesco a risolvere...

Grazie!

[vhosting]

E' una cosa che purtroppo vediamo molto spesso

A volte e' proprio il PC del cliente, e principalmente nel 90% dei casi in cui abbiamo visto questo, tutte le password erano salvate nel filezilla nello storico, non so se sia un caso oppure no.

Ciao.