Dominio sotto attacco

[frasidipace]

Buongiorno a tutti,
da circa una settimana stiamo rilevando un attacco notturno al dominio www.incantodelleninfe.it.
Questo tipo di account opera un downgrade della versione PHP a 7.3.3 ponendo l'itero sito non funzionante, nonché un'alterazione delle password degli utenti di amministrazione e delle loro capability.
Al momento siamo costretti ogni mattina a ripristinare il precedente backup per far ripartire il tutto.
Abbiamo già scritto all'abuse 3 volte, ma abbiamo ricevuto una sola risposta senza alcun senso logico e che, anzi, ci indicava di esserci rivolti a loro impropriamente.
Abbiamo già risposto a tale mail, ma al momento nessuno ha risposto e anche stanotte il sito è stato attaccato. E a chi dovremmo rivolgerci?
Il problema è senz'altro relativo ad un attacco che riceve il dominio e non a temi e/o plugins installati, poiché abbiamo copiato il tutto su un acocunt gratuito di terzo livello e tale dominio non ha ricevuto alcun attacco.
Pertanto noi non possiamo fare nulla e riteniamo che debba essere la Vostra assistenza ad intervenire intercettando e bloccando tali attacchi notturni.
Mi spiace dirlo, ma nonostante sia presente su questo hosting dal 2010, in questo frangente stiamo rilevando assistenza pessima e ci stiamo pentendo di aver fatto la scelta di migrare qui.
Spero che l'assistenza prenda in considerazione il problema e lo risolva in tempi brevi, altrimenti dovremmo prendere in considerazione di spostarci altrove ed eventualmente di fare altre scelte anche in futuro.

Grazie

Buona giornata

[alemoppo]

Non ero al corrente di questa situazione.

Il problema è senz'altro relativo ad un attacco che riceve il dominio e non a temi e/o plugins installati, poiché abbiamo copiato il tutto su un acocunt gratuito di terzo livello e tale dominio non ha ricevuto alcun attacco.

Chiaro, ma gli attaccanti non conoscono il nuovo account, quindi è normale non ricevere questo tipo di attacchi nell'altro account.

Detta così, anche io imputerei qualche vulnerabilità di qualche componente. In tal caso non capisco lato AlterVista come si potrebbe procedere.
Hai avuto modo di conoscere gli IP degli attacchi? Gli IP degli attacchi sono sempre gli stessi? (immagino di no).

Visto che si tratta di un attacco, consiglierei anche di sporgere denuncia agli enti competenti. Solitamente AlterVista rilascia informazioni agli enti competenti per collaborare e trovare una soluzione.

In ogni caso ora segnalo se AlterVista può fare qualcosa.

Ciao!

[frasidipace]

Non ero al corrente di questa situazione.



Chiaro, ma gli attaccanti non conoscono il nuovo account, quindi è normale non ricevere questo tipo di attacchi nell'altro account.

Ciao alemoppo,
Proprio per questo riteniamo che il problema sia riferito al dominio preso di mira e non a vulnerabilità di temi e/o plugins che sono tutti supportati ed aggiornati.

Hai avuto modo di conoscere gli IP degli attacchi? Gli IP degli attacchi sono sempre gli stessi? (immagino di no).

No, anche perché non monitoriamo ancora visite, dal momento che non abbiamo ancora completato il tutto ed impostata la privacy policy.
L'assitenza, però, dovrebbe avere i log notturni di tali attacchi.

Visto che si tratta di un attacco, consiglierei anche di sporgere denuncia agli enti competenti. Solitamente AlterVista rilascia informazioni agli enti competenti per collaborare e trovare una soluzione.

In ogni caso ora segnalo se AlterVista può fare qualcosa.

Ciao!

Grazie

Ciao

[alemoppo]

Proprio per questo riteniamo che il problema sia riferito al dominio preso di mira e non a vulnerabilità di temi e/o plugins che sono tutti supportati ed aggiornati.

Concordo sul fatto che il dominio è l'obiettivo principale degli attacchi.
Non capisco però come si possa escludere completamente la possibilità di vulnerabilità nei componenti del sito. Anche se i temi e i plugin sono supportati e aggiornati, esiste sempre un rischio residuo che possa essere sfruttato da attaccanti. Per questo si consiglia sempre di ridurre al minimo la presenza di componenti esterni.

Detto questo, la raccomandazione primaria è di cambiare tutte le password sia dell'account, sia della mailbox associata ed eventualmente del profilo Facebook associato al login.

Visto che il tuo account è hosting dove ci sono script di terze parti, AlterVista non può fornire alcun tipo di assistenza, né specifica nel correggere eventuali problemi di sicurezza legati a software installati.

I tecnici mi hanno segnalato che ci sono due script PHP sul tuo account con il codice offuscato nel folder dei plugin installati. È probabile che contenga codice malevolo che permette di acquisire a terze parti il controllo completo del sito.

Consigliamo di scaricare tutti i contenuti, eliminare completamente tutti i file sul sito e ricaricare i contenuti di una installazione Wordpress pulita (ovviamente senza gli script, temi e plugin salvati). L'unica cosa da caricare sono solo i testi e media.

Nota che la semplice eliminazione degli script PHP molto probabilmente non risolverà il problema.

Ti invio privatamente il percorso dei possibili file infetti.

Ciao!

[frasidipace]

Concordo sul fatto che il dominio è l'obiettivo principale degli attacchi.
Non capisco però come si possa escludere completamente la possibilità di vulnerabilità nei componenti del sito. Anche se i temi e i plugin sono supportati e aggiornati, esiste sempre un rischio residuo che possa essere sfruttato da attaccanti. Per questo si consiglia sempre di ridurre al minimo la presenza di componenti esterni.

Certo, la possibilità c'è sempre, ma in questo caso si tratta di componenti che abbiamo installato su una decina di siti senza mai aver alcun tipo di problema.

Detto questo, la raccomandazione primaria è di cambiare tutte le password sia dell'account, sia della mailbox associata ed eventualmente del profilo Facebook associato al login.

Sì, avevamo già provveduto a modificare tutte le password.

Visto che il tuo account è hosting dove ci sono script di terze parti, AlterVista non può fornire alcun tipo di assistenza, né specifica nel correggere eventuali problemi di sicurezza legati a software installati.

Non avevamo richiesto di correggere gli errori, ma sicuramente l'assistenza ha dei tools da far girare sul server che noi non possiamo fare.

I tecnici mi hanno segnalato che ci sono due script PHP sul tuo account con il codice offuscato nel folder dei plugin installati. È probabile che contenga codice malevolo che permette di acquisire a terze parti il controllo completo del sito.

Consigliamo di scaricare tutti i contenuti, eliminare completamente tutti i file sul sito e ricaricare i contenuti di una installazione Wordpress pulita (ovviamente senza gli script, temi e plugin salvati). L'unica cosa da caricare sono solo i testi e media.

Come vedi avrebbero potuto segnalarlo già da prima. Comunque al momento ho eliminato tali codici (ne ho rilevato anche un terzo). Ora procediamo con una installazione pulita e ricominciamo.

Grazie mille

Ciao

[frasidipace]

Ciao Alemoppo,
sembra che eliminando il codice malevolo il problema sia rientrato.
A beneficio di altri che potrebbero trovarsi con lo stesso problema aggiungo che, rispetto a quello che mi avevi comunicato, abbiamo rilevato ulteriore codice attraverso scansione eseguita con il plugin Wordfence Security.
Aggiungo, infine, che l'abuse ci ha risposto ieri sera sostanzialmente con quanto avevi già comunicato tu, invitando a migrare su account con Wordpress gestito per avere eventuale supporto, ma non credo che ciò possa essere la panacea i tutti i mali.
Prendiamo atto che con software di terze parti non si possa avere più di tanta assistenza.
Fortunatamente ormai per Wordpress vi sono strumenti di ogni tipo che consentono sempre di venir fuori da qualsiasi situazione.

Grazie per il tuo tempestivo intevento.

Ciao