Il mio sito è sotto attacco!
Autore: Filippo F.
Visite 981,
Followers 3,
Condiviso 0
Salve, il mio sito è sotto attacco.
Mi ha avvertito google e aggiunto dicitura nella ricerca google “questo sito non è sicuro” la situazione è così almeno da ieri.
A centromanipura.com se aggiunto /journal appare una pagina non scritta da me.
L’ho creato con incomedia x5 programma aggiornato ad oggi e sito aggiornato mensilmente, anche oggi.
L’host su cui è il sito è Aruba, colui che mi affitta lo spazio mi ha detto che dipende da una falla del vostro programma (plugin?)
Ho provato a caricare il sito con incomedia rimettendo tutti i file da capo ma il problema non cambia.
Come mi devo muovere? Cone posso risolvere il problema?
Ps il vostro numero di telefono è fuori uso, è normale?
Filippo Frati
Postato il
se fosse un CMS basato effettivamente su plugin etc può essere ma con Website è
molto improbabile che ci sia una falla nel programma; si usa il PHP , ma una versione aggiornata... e si usa jquery , anche lì aggiornata...
a mio parere la falla è da qualche altra parte ...
ma lo spazio è sempre aruba ?
comunque
cancella tutti i files dall'host, in particolare la cartella journal
cambia la password di ftp,
e riesporta totalmente tutto il sito...
Se hai codici extra rimuovili tutti... (a parte quelli ufficiali di google)
Controlla anche il tuo pc e se puoi fai l'esportazione tramite FTPS.
Posta anche i messaggi che dici come immagini per vederli effettivamente e non riportarli qui solo testualmente...
Hai risolto ?
Autore
Mi scuso per non averle più risposto, lo faccio adesso:
Lo spazio è sempre aruba il mio sito è su un server condiviso
Tutti i files erano stati cancellati
Non mi cambiarono la password che uso per cambiare il sito nonostante l'avessi chiesto esplicitamente
Avevo rimesso su il sito sempre con il programma di Incomedia
Cosa sono i codici extra?
Sul mio Pc ho Kasperky internet security ma non ha rilevato niente, come si fa l'esportazione tramite FTPS?
Alla fine avevo risolto e rimesso su il sito.
Il 6 di Febbraio cliccando sul sito mi ha dato questo messaggio: Vuoi Scaricare "centromanipura.com"? ributtai su il sito con incomedia e si era risolto.
Autore
Stasera nuovo problema
Mi chiama il mio amico che è tecnico (a cui pago la quota del mio sito in un server condiviso con altri siti) e mi dice che lo hanno avvertito quelli dell'host, che il mio sito è pieno di robaccia, che "stanno richiamando queste pagine a martello. il server è impegnato nelle richieste non riesce a starci dietro". Dice sempre il mio amico che a causa di questo ha a altri 47 siti bloccati, il suo collega ci ha messo messo mano ed ha spostato la roba in un cartella di nome Hacked. mi ha detto appunto non basta cancellarla, che ho il sito bucato e a causa mia gli si blocca tutti gli altri. Mi ha detto che devo rifare il sito con un altro programma e imputano tutti questi problemi a qualche vostro PHP.
Io avevo aggiornato il programma ieri nei giorni passati e rimesso su il sito da nuovo.
Stasera ho messo mano al mio sito e ho eliminato dei codici html che avevo su da anni, del tipo cliccando sulla voce shiatsu la pagina andava in automatico alla spiegazione sullo shiatsu con un collegamento e poi con <a name="1">SHIATSU</a> ho preso e cancellato questo codice e collegamento. Fatto bene oppure è una cosa inutile?
Che mi consigliate di fare?
Grazie
Autore
Aggiungo che stasera finalmente mi hanno cambiato la password.
Come ti ho già detto è praticamente impossibile che sfruttino quel poco di php per fare un attacco al tuo sito...
L'unica potrebbe essere codice extra, ad esempio di pseudo-contatori visite.
Tutto questo tempo per cambiare una password ftp ? Quella era la primissima cosa da fare !!!
se ti hanno bucato quella hanno sfruttato il tuo sito per fare chissà cosa tutto questo tempo...
Per l'esportazione FTPS chiedi ad Aruba i parametri...
Comunque ora a password cambiata fai quello che ti ho detto:
Cancella tutti i files dall'host, in particolare la cartella journal
cambia la password di ftp,
e riesporta totalmente tutto il sito...
Se hai codici extra rimuovili tutti... (a parte quelli ufficiali di google)
Ciao Filippo,
con un progetto WebSite X5 (senza codice extra) non è possibile, tuttavia attendi un feedback da parte del team.
Un sito creato con questo programma è praticamente statico (a meno che tu non inserisci codici extra non certificati), dunque è come parlare al muro, non ricevi risposta.
Se hai API o altri strumenti poco sicuri, in tal caso potrebbe verificarsi, tuttavia è molto raro.
Io ho il server interfacciato e mi è capitato solo qualche tentativo di DDoS, mentre con scansioni il server stesso va in protezione con l'errore 406.
Bucare il sito significa penetrare per mezzo di un bug nel codice sorgente. Dunque è plausibile se hai un PHP datato, cosa non possibile con WebSite X5, dato che non dorrebbe funzionare con versioni obsolete.
Come risolvere?
Questo dovrebbe risolvere.
Autore
Capisco
Cosa è il codice extra? Il codice extra può essere ad esempio quello che le ho descritto sopra? quello per i collegamenti dalla parola alla spiegazione sullo shiatsu? Altrimenti io non ne ho.
no pseudo-contatori io non ne ho messi, a meno che non ne metta il programma da se in automatico ma non credo.
Come le ho già scritto sopra, il vecchio attacco con la cartella journal me lo risolsero un mese fa cancellando tutto dall'host e poi rimettendo io su il sito.
Per la password sono stati osceni glielo ho detto tante di quelle volte...
Ok chiederò i parametri per l'esportazione ftps
grazie
tieni conto che trasferire il sito in FTPS serve unicamente ad avere una protezione in più nel caso sul PC dal quale fai il trasferimento hai attivo un malware in grado di intercettare il traffico di rete e le password...
facendo il trasferimento in FTPS , questo traffico sarà cifrato e quindi non "leggibile" in chiaro.
Website, ovviamente, NON usa codice extra "strani o maligni"... se non ne hai inseriti tu mi diventa ancora più incomprensibile capire come possano averti "bucato" il sito...
Autore
Per quanto riguarda il fatto di avere un malware avendo kaspersky internet security attivo mi sento relativamente sicuro, altrimenti che programma dovrei usare per controllare più a fondo?
Io non ho inserito nessun codice extra strano o maligno.
Tra un po' mi scadrà l'abbonamento per lo spazio web e avevo intenzione di migrare altrove, anche perchè se è vero quel che mi dicono non voglio creare problemi agli altri loro siti, questa volta non voglio un server condiviso però, così vedrò se continuerò ad avere problemi come con loro (almeno una volta l'anno se non di più) oppure no.
La password la puoi cambiare tu quando vuoi entrando direttamente nel pannello di controllo dell'hosting di Aruba.
Mi chiama il mio amico che è tecnico (a cui pago la quota del mio sito in un server condiviso con altri siti) e mi dice che lo hanno avvertito quelli dell'host, che il mio sito è pieno di robaccia,
il server condiviso è su Aruba e la quota dovresti pagarla ad Aruba direttamente. Io non delegherei mai a nessuno la gestione del mio hosting.
Il fatto che tu ti ritrovi all'interno dei files .php e una cartella /journal mi fa pensare ad una installazione di qualche altra applicazione che poi ha generato dei problemi. Ma se tu deleghi ad altri la gestione password è ovvio che non hai controllo sulla gestione del tuo host.
In ogni caso non mi sembra che il programma generi una cartella /journal anche utilizzando il blog. Forse l'ecommerce?
Autore
Forse la cartella journal la creò (primo attacco) l'hacker chissà come? Non uso ne blog ne e-commerce.
Filippo, essendo un Hosting condiviso potresti anche non essere stato tu a fare il "pasticcio". Purtroppo puntare il dito è poco utile in queste situazioni.
Se desideri migrare su un server condiviso (svincolato dai soggetti citati) puoi provare TopHost. Economico ma adatto per siti di piccole dimensioni.
Se non desideri l'host condiviso puoi valutare IONOS by 1&1. Ottima qualità e assistenza.
Non vedo cosa possa cambiare tra host condiviso e non...
Hanno scritto nella cartelle sul tuo spazio...
Non ho capito se il sito lo esporti tu o lo fa chi si è preso in carico il dominio su aruba ?
Comunque se fai quello che ti ho consigliato fin dall'inizio , ripulendo il tutto e con password cambiata ... ed esportando da una versione nuova e con un php aggiornato ..
è praticamente impossibile entrare sfruttando eventuali falle in website...