Sospensione Hosting in seguito ad attacco hacker su cms wordpress

Ore 9.00 di lunedì 06 dicembre 2010, come mia consuetudine arrivo in ufficio e verifico la posta, e trovo questo messaggio:

“Gentile Vincenzo Romano,

questa è una comunicazione per notificarti l’avvenuta sospesione del servizio da te in uso. I dettagli relativi alla sospensione del servizio sono i seguenti:

Servizio: hosting condiviso professionale
Dominio: guadagnareconunblog.com
Motivo sospensione: Phishing

Da qui in poi inizia l’avventura, nel cercare di capire cosa era accaduto, nel fine settimana a guadagnareconunblog.com.

L’obiettivo di questo articolo è quello di mettere a conoscenza tutti i possesori di blog su piattaforma wordpress, di cio’ che mi è accaduto per cercare di aumentare la sicurezza del proprio blog, in quanto grazie a determinati plugin precedentemente installati, sono riuscito a limitare i danni.

Ecco cosa è successo e che tipo di attacco ho ricevuto:

  1. Creazione di un nuovo utente chiamato ” Prince7891 “;
  2. Modifica di tutto il codice Adsense con l’inserimento di un nuovo pub, per precisione il pub utilizzato è: PUB-7292301209168472;
  3. Inserimento in tutti i file php del template in uso di uno script che all’apertura di un qualsiasi articolo riinviava presso un sito francese, di cui non sono riuscito a memorizzarne l’url;
  4. Creazione di un file nella root denominato wp-core.php completamente affetto da un virus denominato php.hide-2;
  5. Creazione di una cartella denominata Paypal con l’obiettivo di visualizzare false,  pagine di PayPal.com, nel tentativo apparente di rubare informazioni personali e finanziarie dai consumatori, e frodare gli utenti PayPal. Le mail di arrivo che ho trovato all’interno di questi file sono: prince7891@hotmail.com, ehhouari@yahoo.fr,      logiciel7.com@gmail.com

Ecco alcuni consigli:

  1. utilizzare un antivirus aggiornato sul tuo pc in caso di sistema operativo Microsoft;
  2. cambiare l’e-mail di accesso login all’area clienti dell’hosting;
  3. cambiare la password di accesso login dell’area clienti dell’hosting;
  4. cambiare la password di accesso cPanel;
  5. cambiare la password di accesso FTP;
  6. controllare ed AGGIORNARE tutti i componenti in uso nonche’ i relativi account di amministrazione degli applicativi web del sito ( in pratica aggiorna wordpress all’ultima versione e i relativi plugin);
  7. installare il plugin WP Database Backup e leggere l’articolo Pianificare, eseguire e verificare il backup del proprio blog.
  8. installare il plugin WP-Sentinel per tenere a bada alcuni attacchi sql injection;
  9. installare il plugin WP Security Scan per ricevere alcuni suggerimenti per aumentare la sicurezza.

Tu che strumenti utilizzi per il tuo blog wordpress ? Che consigli ti sentiresti di darmi per aumentare la sicurezza del mio blog? Ringrazio sin da ora tutti coloro che risponderanno e mi aiuteranno.

22 Comments
  1. Reply
    Matteo 07/12/2010 at 17:32

    Come ti avevo già scritto Wp-sentinel, per il resto dovresti cercare di capire com’è successo, se aveva la tua pass bella in chiaro (non so se usi sempre la stessa) oppure se c’è qualche exploit nella versione 3.0.2…

    Poi se devo dire per esperienza ogni tanto controllo se in rete ci sono eventuali exploit sviluppati x colpire wordpress e/o plugin che ho installato, cosi da correggere…

  2. Reply
    Fare Soldi 08/12/2010 at 12:10

    Ciao Vincè, ho letto la notizia dell’attacco su Facebook. Plugin a prescindere, quello che ho fatto io è di rimuovere tutte le diciture all’interno delle pagine del codice in cui è riportata la versione di wordpress. Meno informazioni si danno ai malintenzionati e meglio è.

    Altra cosa utile secondo me, quando ci sono aggiornamenti del cms, non fare l’upgrade subito ma aspettare qualche tempo per essere certi che eventuali falle non riscontrate vengano corrette. Io vado sempre con una versione indietro di wordpress.

    Oltre a ciò io uso un utile plugin (Traffyk 404) che seppure è stato studiato per notificare via mail eventuali errori 404, in tali notifiche si rileva quando qualcuno cerca di accedere a pagine di amministrazione tentando url a caso. In queste situazioni inserisco nel file htaccess le istruzioni per bloccare quel dato ip inibendo l’accesso a qualsiasi pagina del dominio.

    Purtroppo la cosa è efficace solo se si ha la fortuna di essere online quando succede qualcosa del genere. Comunque io in questo modo me la sono scansata diverse volte.

    Altra cosa utile ridurre al minimo i plugin che spesso sono la causa principale di intrusioni. Per il resto c’è da dire una sola cosa: se siamo puntati da un bravo hacker purtroppo c’è poco da fare.

    Meno male che avevi una copia di backup che penso sia la cosa principale. Alla fine una bella reinstallazione per fortuna risolve tutto.

  3. Reply
    Sebastian 08/12/2010 at 20:56

    Questo gruppo di pagliacci …….. sono davvero molto attivi e sembra che il loro cracking abbia fini religiosi. Il peggio del peggio…

    Guarda qui: …………. ATTENZIONE la pagina è affetta da virus e ti chiede di installare un plugin firefox. ANNULLA

  4. Reply
    Vincenzo Admin 09/12/2010 at 09:30

    @Matteo: Ti ringrazio per la segnalazione, infatti ho provveduto immediatamente ad installare il plugin e già ho avuto 2 segnalazioni di attacco. Certo che guadagnareconunblog.com fà gola a molti hacker.
    @Fare Soldi: Purtroppo sono stato attaccato ed è ben la terza volta che guadagnareconunblog subisce l’intrusione di malintenzionati. Purtroppo devo dirti che rimuovere la versione di wordpress non basta, in quanto ci vuole solo fortuna a non trovarsi nella mente di alcun hacker. Per quanto riguarda la tua strategia di difesa, devo dire che non mi trova molto in accordo. In quanto spesso le nuove relaese vengono rilasciate proprio con lo scopo di fissare una sicurezza maggiore. Quindi mi consiglio di dirti che aggiornare wordpress e i plugin in maniera costante e rapida, vuol dire dare meno spazio di azione a chi vuol fare danni sul tuo blog.
    Un consiglio che mi sento di avallare è quello di avere sempre una bella copia di backup pronta ad essere ripristinata.
    @Sebastian: Ho dovuto inserire dei puntini nel tuo commento in quanto non mi va ne di denigrare un popolo rispetto ad un altro e ne di inserire link attivi nei commenti. Posso solo risponderti che l’attacco era proveniente da hacker francesi.

  5. Reply
    Guadagnare Online 14/12/2010 at 11:56

    Beh, ho vissuto insieme a Vincenzo (che mi ha aggiornato in real time sugli avvenimenti) la storia dell’attacco di guadagnare con un blog, e ho messo a disposizione il mio sito per eventuali aggiornamenti agli utenti, devo dire che quanto è successo dovrebbe far riflettere molte persone…

    WordPress è fantastico, speriamo però che gli hacker non comincino ad hackerare i siti più importanti fatti con WordPress…

    Per la sicurezza secondo me non c’è molto da fare a parte qualche plugin, pur cambiando password, un bravo hacker potrebbe riuscire tranquillamente ad entrare a mio avviso…

    Piuttosto bisogna interrogarsi sul perchè vengono attaccati siti come questo: per fare phishing? per guadagnare qualcosa con adsense? o per screditare il sito stesso?

  6. Reply
    Vincenzo Admin 17/12/2010 at 11:06

    @Guadagnare Online: Valerio ti ringrazio come sempre per la tua disponibilità.

  7. Reply
    DNS 17/12/2010 at 22:27

    Ti faccio presente che navigando con gli OpenDns il tuo sito risulta ancora bloccato per phishing.

  8. Reply
    Affiliarsi 18/12/2010 at 23:11

    Vincè che ti dicevo via skype????
    Basta controllare le cose giuste, avere un pò di pazienza e poi… tutto come prima!
    Buona continuazione.
    Giannicola

  9. Reply
    Vincenzo Admin 20/12/2010 at 10:02

    @DNS: sai come poter risolvere il problema?
    @Affiliarsi: Gian ti ringrazio per avermi dato degli ottimi consigli. In effetti ho fatto richiesta a google di riconsiderazione, ed ora il posizionamento è tornato come prima.

  10. Reply
    DoZ 23/12/2010 at 16:40

    …mai sentito parlare del plugin Secure WP? …o di AntiVirus (sempre un plugin)?Anche a me è successa un’iniezione tempo fa!
    Ho risolto col secondo; ora faccio prevenzione col primo.
    🙂 CIAO!

  11. Reply
    Trucchi 29/12/2010 at 17:59

    1. Come prima cosa per proteggersi a questi tipi di problemi come prima cosa dobbiamo avere una copia aggiornata della nostra database.

    2.Se non serve le inscrizioni sul sito gli dobbiamo chiudere.
    3.Se abbiamo più siti su lo steso host dobbiamo controllare tutti, perché se il hacker ha riuscito ad injectare un semplice c99 su uno dei nostri domini .. può controllarli tutti.
    4. Dobbiamo nascondere più possibile la versione del nostro script, perché loro vano a cercare su google i siti che utilizzano la versione di wordpress vulnerabile, con gli soliti keywords google hack,

    5.Mai installare dietro ai nostri siti script php per testarli e lasciarli cosi .. la maggior parte di loro con passa tempo diventano vulnerabili.

    6. installare plugin per protezione sql injections come esempio Secure WP.

    7. Utilizzare delle password difficili per la nostra ftp, ed hosting accees, e cambiarli spesso, questo ci protegge dai attacchi in massa su le ftp e web atack

    8. Fare molta attenzione con la password dalla nostra mail, in piu molto consigliato non mantenere le password o pure le mail dei nostri servizi, perché se un mal intenzionato riesce ad entrare nella nostra mail può recuperare tante cose.

    9. Mai utilizzare la password dalla nostra mail su altri siti quando eseguiamo registrazioni .. tanti script non inseriscono nella database la password criptata .. e se il admin e un mal intenzionato ci può creare i problemi.

    Nell 90% dei cassi si tratta di un errore da parte dell amministratore dell sito .. raramente si tratta di un errore cosi grave di un script.

  12. Reply
    Trucchi 29/12/2010 at 18:09

    Ho scannato il tuo dominio e non risulta vulnerabile, sicuramente non avevi aggiornato il tuo script wordpress, o pure avevi dietro al sito qualche script vecchio installato per dei test.

  13. Reply
    Vincenzo Admin 29/12/2010 at 18:51

    @Trucchi: Ti ringrazio tantissimo per aver creato un elenco dei principali consigli che dai per proteggere il proprio blog da attacchi improvvisi.
    Tantissimi li avevo già attuati, ma non sono stati sufficienti.
    Per quanto riguarda la scansione del mio dominio, attualmente ho cercato di prendere tutti i provvedimenti che mi hanno consigliato diversi utenti, per rendere quanto piu’ sicuro questo blog.

  14. Reply
    Trucchi 29/12/2010 at 19:00

    Io ti consiglio di fare una cosa, cancella tutti i fili dal dominio e instala di nuovo il wordpress, in modo che se il hacker ha lascato una backdor sul tuo diminio viene cancelata, oviamente prima conserva il file config.php.

  15. Reply
    Alex (MelaPolis.com) 10/02/2011 at 21:07

    Purtroppo è successo anche al mio blog, la prima volta è stata abbastanza disastrosa in quando hanno cancellato completamente il database. Avevo una copia ma il ripristino ha portato un po’ di downtime, poi mi sono attrezzato per il backup WordPress su Amazon S3 ed ho fatto bene, oggi l’hanno tirato giù ancora ma ripristinarlo è stato un attimo 🙂

  16. Reply
    Vincenzo Admin 11/02/2011 at 09:13

    @Alex: purtroppo prima o poi succede a tutti, quando il blog inizia a ricevere costantemente un bel po di visite. Anche guadagnare con un blog è stato attaccato 2 volte, e non ci sono rimedi per riuscire ad essere immuni al 100%. Comunque ho letto l’articolo che hai linkato nel commento e lo trovo davvero ben fatto. Complimenti!

  17. Reply
    Alex (MelaPolis.com) 11/02/2011 at 09:45

    Grazie @Vincenzo, sono arrivato al tuo blog poichè aggregato da Liquida nella tematica hackers assieme al mio. Con l’occasione ti faccio i miei più vivi complimenti per la qualità dei contenuti e la chiarezza dell’esposizione. ieri sera dall’iPhone ho fatto un pieno d’articoli, molto molto interessanti. Bookmarkato!

  18. Reply
    pako 17/02/2011 at 14:15

    Devo dire che per i web master e’ davvero un incubo lattacco hacker

    Comunque vi esorto a fare sempre il backup di tutto

    Ottimo articolo

  19. Reply
    Antonio 19/02/2011 at 13:41

    Io credo che è sempre brutto quando un sito subisce un attacco, che puoi può anche venire penalizzato dai motori di ricerca e perdere utenti.
    Ho appena letto un articolo che parla di un sacco di plugin per evitare gli attacchi hacker a wordpress: http://www.dozarte.com/wordpress/2011/02/19/10-trucchi-essenziali-alla-protezione-del-blog/
    Quello che mi è sembrato il più interessante è il firewall per wordpress!

  20. Reply
    nata100 01/04/2011 at 05:04

    salve
    admin se vuoi un consiglio da chi già ha avuto problemi simili prenditi un hosting con protezione ddos , le visite del tuo blog sono tali da farti avere un servizio protetto a poca spesa . Per quanto riguarda il tuo problema spesso sono persone italiane tu vedi ip francesi perché usano server situati in francia .

    • Reply
      Vincenzo Admin 01/04/2011 at 08:09

      @nata100: Grazie per il consiglio. Sai indicarmi qualche hosting con protezione ddos ad un prezzo ragionevole?

  21. Reply
    Trucchi 01/04/2011 at 09:02

    #nata100, anche io sono interesato a un servizio hosting con protezione ddos ad un prezzo ragionevole .. ho trovato solo dei 100 200 usd al mese, uno dei miei siti riceve ogni settimana almeno un simile attacco !!

Leave a reply