Sicurezza online

di il
15 risposte

Sicurezza online

Salve a tutti. Questa mattina ho avuto una brutta sorpresa. Aprendo un sito web, si apre una schermata rossa (google chrome) che dice Sito ingannevole in vista. Analizzando i file del mio sito, trovo diversi file modificati e file nuovi che io non avevo caricato. Poi navigando nel file di log vedo diverse richieste al mio sito come questa:
GET /wp-content/upgrade/ HTTP/2.0" 200 8667 "https://cart*****.com/me.html" "Mozilla/5.0 (iPhone; CPU iPhone OS 12_0_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1"
Infatti nella search console di google trovo che il sito è stato segnalato per contenuti di social engineering, e dice che il codice maligno è wp-conten/upgrade. La cartella però è vuota, e anche l'originale (faccio spesso dei backup sul mio pc). Cercando in rete l'indirizzo
https://cartcart*****.com/me.html
reindirizza a miodominio.it/wp-content/upgrade. Ora sinceramente non so come muovermi. La prima cosa che ho fatto è eliminare tutti i file "strani" confrontando l'originale. Poi ho segnalato di aver risolto i problemi a google tramite search console. Poi ho fatto un check con diversi siti (virus total, sucuri sitecheck e quttera) ma tutti dicono che il sito è ok. Spero di non aver sbagliato sezione, e spero possiate aiutarmi. Grazie in anticipo.

15 Risposte

  • Re: Sicurezza online

    Ciao,
    ho asteriscato il sito in questione per evitare che qualche utente ci vada.
    Chissa per cosa hanno usato il tuo sito.....
    Devi capire come è stato possibile che abbiano preso il controllo dello spazio web.
    Tramite wordpress? hai controllato i login a wordpress? usi https giusto?
    Usi FTP in chiaro? quindi non SFPT, FTPS, FTPES?
    Altro?
    Se non lo capisci come è stato possibile, la giornata triste si potrebbe riproporre
  • Re: Sicurezza online

    Grazie per la tua risposta. Potresti darmi qualche dritta per iniziare? Ho anche una domanda, su google chrome il sito da l'errore, ma su firefox, internet explorer e microsoft edge il sito si vede correttamente. A questa cosa non so dare spiegazione...
  • Re: Sicurezza online

    Chrome si poggia evidentemente a Google, immagina debbano aggiornare la cache sempre che sia rientrato il warning sul tuo sito.
    Comunque sia preoccupati di capire quanto di ho scritto e modifica le password di accesso.

    Per wordpress, verifica dal logs gli accessi alla cartella wp-admin e cerca di capire se indirizzi ip e orari sono compatibili con i tuoi accessi.
    Non ho capito se usi FTP o altro...
  • Re: Sicurezza online

    Allora ti faccio una sorta di panoramica. Il sito si trova su un server cloud su cui è installato plesk e ci sono altri siti sopra. Purtroppo ho scoperto che uno di questi siti è stato attaccato, è stata eliminata una cartella (prontamente ricaricata dal backup). Come configurazione avevo :Consenti sia connessioni FTPS protette sia connessioni FTP non protette, ora ho messo Consenti solo connessioni FTPS protette. Sto controllando gli accessi e il tutto è successo ieri, ma ieri non l ho proprio toccato.
  • Re: Sicurezza online

    Cambia intanto tutte le password: ftp, rdp, plesk, wordpress.
    Hai una macchina windows? RDP è aperto al mondo intero?
    Controlla anche gli accessi plesk, ftp, rdp
  • Re: Sicurezza online

    Rieccomi per un aggiornamento. Allora ho provveduto a cambiare tutte le password (sia ftp che database). Controllando meglio, ho notato che sul server sono stati caricati dei file. All'interno del log posso vedere il log di chi li ha caricati? Così da bannare l'ip di chi lo ha caricato. Grazie ancora

    P.S.: La macchina è linux
  • Re: Sicurezza online

    Visto che la macchina è Linux lascia stare quanto di ho detto per RDP ma verifica che la porta 22 non sia aperta al mondo intero.

    Bannare l'ip è una misura blanda perchè l'attaccante può usarne un altro e anzi sicuramente ne ha usato uno che non utilizzerà più.
    Ti può servire recuperare l'ip dell'attaccante per segnalarlo alla polizia postale.

    Quello che devi fare è capire come sono entrati per modificare i files (FTP, Plesk, SSH, Altro). Guardati tutti il logs.
    Trovi prove di attacco Brute Force (nei logs troverai tanti accessi negati per credenziali errate) o conoscevano i dati di accesso? (in questo caso è possibile che tu abbia utilizzato canali in chiaro, es FTP oppure hai un key logger installato sul client oppure chissà).
    Verifica quali punti di accesso hai aperti al mondo intero e limitali con un filtro IP esclusivamente alle connessioni che utilizzi. Puoi utilizzare anche dei tool di Port Scanning per tale verifica
  • Re: Sicurezza online

    Posso chiederti come posso fare queste operazioni? Non sono molto esperto del campo...
  • Re: Sicurezza online

    Al 99% si tratta di bug giganti di wordpress, o di qualche plugin. giusto per curiosità: amministri una macchina, senza avere la minima idea di cosa stai facendo?

    lo chiedo non in termini polemici, è solo per capire come ritieni di poter mandare avanti "la baracca" in tal modo.
  • Re: Sicurezza online

    Per me è la prima esperienza, probabilmente non è andata al meglio, per questo chiedo a voi più esperti di me per consigli.
  • Re: Sicurezza online

    Vabbè cominciamo dall'inizio: di cosa stiamo parlando?
    Una macchina fisica, una macchina virtuale?
    Tua? in "comproprietà"?
    Che cosa c'è sopra?


    PS capita a tutti di iniziare... è capitato perfino a me
  • Re: Sicurezza online

    Penso sia una macchina fisica. Cosa intendi per comproprietà? Lavoro in una web agency, l'ha comprata il mio datore di lavoro, e dato che lui non la sa gestire, la gestisco io. Sopra ci sono siti dei nostri clienti, sviluppati in wordpress e prestashop. Come detto in precedenza, è installato plesk
  • Re: Sicurezza online

    tomrecensioni ha scritto:


    Penso sia una macchina fisica. Cosa intendi per comproprietà? Lavoro in una web agency, l'ha comprata il mio datore di lavoro, e dato che lui non la sa gestire, la gestisco io. Sopra ci sono siti dei nostri clienti, sviluppati in wordpress e prestashop. Come detto in precedenza, è installato plesk
    Sei ancora molto generico

    1) sistema operativo?
    2) ci accedi da ssh ?
    3) - con autenticazione a chiavi o password ?
    4) che servizi ci sono sopra?
    4a ) ftp? quale?
    4b ) http? quale
    4c ) altro ?
    5) plesk? quale?
    6) wordpress ? quale ?
    7) presta? quale ?
    che utenti ci sono nella macchina ?
    9) che utenti ci sono nei vari programmi ?
    10) c'è un firewall hardware ? software ? quale? niente del tutto ?

    questi sono i primissimi passi.
  • Re: Sicurezza online

    1) linux
    2) no plesk
    3) password
    4a) ftp e ftps
    4b) http
    5) 17.5.3
    6) l'ultima versione
    7) 1.6.17
    8 e 9) solo root
    10) si c'è il firewall, è quello base di plesk. Inoltre ho installato revisium antivirus, consigliato nelle guide di plesk per controllare file infetti
Devi accedere o registrarti per scrivere nel forum
15 risposte