WebSite X5Help Center

 
Filippo F.
Filippo F.
User

Il mio sito è sotto attacco!  it

Autore: Filippo F.
Visite 981, Followers 3, Condiviso 0  

Salve, il mio sito è sotto attacco.
Mi ha avvertito google e aggiunto dicitura nella ricerca google “questo sito non è sicuro” la situazione è così almeno da ieri.
A centromanipura.com se aggiunto /journal appare una pagina non scritta da me.
L’ho creato con incomedia x5 programma aggiornato ad oggi e sito aggiornato mensilmente, anche oggi.
L’host su cui è il sito è Aruba, colui che mi affitta lo spazio mi ha detto che dipende da una falla del vostro programma (plugin?)
Ho provato a caricare il sito con incomedia rimettendo tutti i file da capo ma il problema non cambia.
Come mi devo muovere? Cone posso risolvere il problema?
Ps il vostro numero di telefono è fuori uso, è normale?
Filippo Frati

Postato il
14 RISPOSTE - 1 UTILE
Claudio D.
Claudio D.
Moderator
Utente del mese IT

se fosse un CMS basato effettivamente su plugin etc può essere ma con Website è

molto improbabile che ci sia una falla nel programma; si usa il PHP , ma una versione aggiornata... e si usa jquery , anche lì aggiornata...

a mio parere la falla è da qualche altra parte ...

ma lo spazio è sempre aruba ?

comunque

cancella tutti i files dall'host, in particolare la cartella journal

cambia la password di ftp, 

e riesporta totalmente tutto il sito...

Se hai codici extra rimuovili tutti... (a parte quelli ufficiali di google)

Controlla anche il tuo pc e se puoi fai l'esportazione tramite FTPS.

Posta anche i messaggi che dici come immagini per vederli effettivamente e non riportarli qui solo testualmente...

Leggi di più
Postato il da Claudio D.
Claudio D.
Claudio D.
Moderator
Utente del mese IT

Hai risolto ?

Leggi di più
Postato il da Claudio D.
Filippo F.
Filippo F.
User
Autore

Mi scuso per non averle più risposto, lo faccio adesso:

Lo spazio è sempre aruba il mio sito è su un server condiviso

Tutti i files erano stati cancellati

Non mi cambiarono la password che uso per cambiare il sito nonostante l'avessi chiesto esplicitamente

Avevo rimesso su il sito sempre con il programma di Incomedia

Cosa sono i codici extra?

Sul mio Pc ho Kasperky internet security ma non ha rilevato niente, come si fa l'esportazione tramite FTPS? 

Alla fine avevo risolto e rimesso su il sito.

Il 6 di Febbraio cliccando sul sito mi ha dato questo messaggio: Vuoi Scaricare "centromanipura.com"? ributtai su il sito con incomedia e si era risolto.

Leggi di più
Postato il da Filippo F.
Filippo F.
Filippo F.
User
Autore

Stasera nuovo problema

Mi chiama il mio amico che è tecnico (a cui pago la quota del mio sito in un server condiviso con altri siti) e mi dice che lo hanno avvertito quelli dell'host, che il mio sito è pieno di robaccia, che "stanno richiamando queste pagine a martello. il server è impegnato nelle richieste non riesce a starci dietro". Dice sempre il mio amico che a causa di questo ha a altri 47 siti bloccati, il suo collega ci ha messo messo mano ed ha spostato la roba in un cartella di nome Hacked. mi ha detto appunto non basta cancellarla, che ho il sito bucato e a causa mia gli si blocca tutti gli altri. Mi ha detto che devo rifare il sito con un altro programma e imputano tutti questi problemi a qualche vostro PHP.

Io avevo aggiornato il programma ieri nei giorni passati e rimesso su il sito da nuovo.

Stasera ho messo mano al mio sito e ho eliminato dei codici html che avevo su da anni, del tipo cliccando sulla voce shiatsu la pagina andava in automatico alla spiegazione sullo shiatsu con un collegamento e poi con <a name="1">SHIATSU</a> ho preso e cancellato questo codice e collegamento. Fatto bene oppure è una cosa inutile?

Che mi consigliate di fare?

Grazie

Leggi di più
Postato il da Filippo F.
Filippo F.
Filippo F.
User
Autore

Aggiungo che stasera finalmente mi hanno cambiato la password.

Leggi di più
Postato il da Filippo F.
Claudio D.
Claudio D.
Moderator
Utente del mese IT

Come ti ho già detto è praticamente impossibile che sfruttino quel poco di php per fare un attacco al tuo sito... 

L'unica potrebbe essere codice extra, ad esempio di pseudo-contatori visite.

Tutto questo tempo per cambiare una password ftp ? Quella era la primissima cosa da fare !!!

se ti hanno bucato quella hanno sfruttato il tuo sito per fare chissà cosa tutto questo tempo...

Per l'esportazione FTPS chiedi ad Aruba i parametri... 

Comunque ora a password cambiata fai quello che ti ho detto:

Cancella tutti i files dall'host, in particolare la cartella journal

cambia la password di ftp,

e riesporta totalmente tutto il sito...

Se hai codici extra rimuovili tutti... (a parte quelli ufficiali di google)

Leggi di più
Postato il da Claudio D.
Stiac Engineering
Stiac Engineering
User

Ciao Filippo,

con un progetto WebSite X5 (senza codice extra) non è possibile, tuttavia attendi un feedback da parte del team.

Un sito creato con questo programma è praticamente statico (a meno che tu non inserisci codici extra non certificati), dunque è come parlare al muro, non ricevi risposta.

Se hai API o altri strumenti poco sicuri, in tal caso potrebbe verificarsi, tuttavia è molto raro.

Io ho il server interfacciato e mi è capitato solo qualche tentativo di DDoS, mentre con scansioni il server stesso va in protezione con l'errore 406.

Bucare il sito significa penetrare per mezzo di un bug nel codice sorgente. Dunque è plausibile se hai un PHP datato, cosa non possibile con WebSite X5, dato che non dorrebbe funzionare con versioni obsolete.

Come risolvere? 

  1. Elimina tutti i codici extra. Alcuni contatori ad esempio danno questo problema;
  2. Ripristina il server. Se non hai dati importanti da dover recuperare esegui il reset e ripristina i permessi vari.

Questo dovrebbe risolvere.

Leggi di più
Postato il da Stiac Engineering
Filippo F.
Filippo F.
User
Autore
Claudio D.
Come ti ho già detto è praticamente impossibile che sfruttino quel poco di php per fare un attacco al tuo sito...  L'unica potrebbe essere codice extra, ad esempio di pseudo-contatori visite. Tutto questo tempo per cambiare una password ftp ? Quella era la primissima cosa da fare !!! se ti hanno bucato quella hanno sfruttato il tuo sito per fare chissà cosa tutto questo tempo... Per l'esportazione FTPS chiedi ad Aruba i parametri...  Comunque ora a password cambiata fai quello che ti ho detto: Cancella tutti i files dall'host, in particolare la cartella journal cambia la password di ftp, e riesporta totalmente tutto il sito... Se hai codici extra rimuovili tutti... (a parte quelli ufficiali di google)

Capisco

Cosa è il codice extra? Il codice extra può essere ad esempio quello che le ho descritto sopra? quello per i collegamenti dalla parola alla spiegazione sullo shiatsu? Altrimenti io non ne ho.
no pseudo-contatori io non ne ho messi, a meno che non ne metta il programma da se in automatico ma non credo.

Come le ho già scritto sopra, il vecchio attacco con la cartella journal me lo risolsero un mese fa cancellando tutto dall'host e poi rimettendo io su il sito.

Per la password sono stati osceni glielo ho detto tante di quelle volte...

Ok chiederò i parametri per l'esportazione ftps

grazie

Leggi di più
Postato il da Filippo F.
Claudio D.
Claudio D.
Moderator
Utente del mese IT

tieni conto che trasferire il sito in FTPS serve unicamente ad avere una protezione in più nel caso sul PC dal quale fai il trasferimento hai attivo un malware in grado di intercettare il traffico di rete e le password...

facendo il trasferimento in FTPS , questo traffico sarà cifrato e quindi non "leggibile" in chiaro.

Website, ovviamente, NON usa codice extra "strani o maligni"... se non ne hai inseriti tu mi diventa ancora più incomprensibile capire come possano averti "bucato" il sito...

Leggi di più
Postato il da Claudio D.
Filippo F.
Filippo F.
User
Autore

Per quanto riguarda il fatto di avere un malware avendo kaspersky internet security attivo mi sento relativamente sicuro, altrimenti che programma dovrei usare per controllare più a fondo?

Io non ho inserito nessun codice extra strano o maligno.

Tra un po' mi scadrà l'abbonamento per lo spazio web e avevo intenzione di migrare altrove, anche perchè se è vero quel che mi dicono non voglio creare problemi agli altri loro siti, questa volta non voglio un server condiviso però, così vedrò se continuerò ad avere problemi come con loro (almeno una volta l'anno se non di più) oppure no.

Leggi di più
Postato il da Filippo F.
Mi Lux
Mi Lux
User
Filippo F.
Aggiungo che stasera finalmente mi hanno cambiato la password.

La password la puoi cambiare tu quando vuoi entrando direttamente nel pannello di controllo dell'hosting di Aruba.

Filippo F.

Mi chiama il mio amico che è tecnico (a cui pago la quota del mio sito in un server condiviso con altri siti) e mi dice che lo hanno avvertito quelli dell'host, che il mio sito è pieno di robaccia,



il server condiviso è su Aruba e la quota dovresti pagarla ad Aruba direttamente. Io non delegherei mai a nessuno la gestione del mio hosting.

Il fatto che tu ti ritrovi all'interno dei files .php e una cartella /journal mi fa pensare ad una installazione di qualche altra applicazione che poi ha generato dei problemi. Ma se tu deleghi ad altri la gestione password è ovvio che non hai controllo sulla gestione del tuo host.

In ogni caso non mi sembra che il programma generi una cartella /journal anche utilizzando il blog. Forse l'ecommerce?

Leggi di più
Postato il da Mi Lux
Filippo F.
Filippo F.
User
Autore
Mi Lux
Filippo F. Aggiungo che stasera finalmente mi hanno cambiato la password. La password la puoi cambiare tu quando vuoi entrando direttamente nel pannello di controllo dell'hosting di Aruba. Filippo F. Mi chiama il mio amico che è tecnico (a cui pago la quota del mio sito in un server condiviso con altri siti) e mi dice che lo hanno avvertito quelli dell'host, che il mio sito è pieno di robaccia, il server condiviso è su Aruba e la quota dovresti pagarla ad Aruba direttamente. Io non delegherei mai a nessuno la gestione del mio hosting. Il fatto che tu ti ritrovi all'interno dei files .php e una cartella /journal mi fa pensare ad una installazione di qualche altra applicazione che poi ha generato dei problemi. Ma se tu deleghi ad altri la gestione password è ovvio che non hai controllo sulla gestione del tuo host. In ogni caso non mi sembra che il programma generi una cartella /journal anche utilizzando il blog. Forse l'ecommerce?

Forse la cartella journal la creò (primo attacco) l'hacker chissà come? Non uso ne blog ne e-commerce.

Leggi di più
Postato il da Filippo F.
Stiac Engineering
Stiac Engineering
User

Filippo, essendo un Hosting condiviso potresti anche non essere stato tu a fare il "pasticcio". Purtroppo puntare il dito è poco utile in queste situazioni.

Se desideri migrare su un server condiviso (svincolato dai soggetti citati) puoi provare TopHost. Economico ma adatto per siti di piccole dimensioni.

Se non desideri l'host condiviso puoi valutare IONOS by 1&1. Ottima qualità e assistenza.

Leggi di più
Postato il da Stiac Engineering
Claudio D.
Claudio D.
Moderator
Utente del mese IT

Non vedo cosa possa cambiare tra host condiviso e non...

Hanno scritto nella cartelle sul tuo spazio... 

Non ho capito se il sito lo esporti tu o lo fa chi si è preso in carico il dominio su aruba ?

Comunque se fai quello che ti ho consigliato fin dall'inizio , ripulendo il tutto e con password cambiata ... ed esportando da una versione nuova e con un php aggiornato ..

è praticamente impossibile entrare sfruttando eventuali falle in website... 

Leggi di più
Postato il da Claudio D.