Wordpress: Il plugin ... è stato disattivato a causa di un errore: Il plugin ha un'intestazione non valida.

[Paolo E.]

Ho una decina di siti su piattaforma Wordpress appoggiati su un certo
fornitore, di cui - per ora - non faccio il nome.

Una decina di giorni fa uno di questi siti � stato attaccato da hackers
che hanno inserito dei files con codice maligno.

Ieri sono entrato nel backend di uno degli altri siti e, accedendo
all'elenco dei plugin, risultano tutti disattivati con errore:

"Il plugin ... � stato disattivato a causa di un errore: Il plugin ha
un'intestazione non valida."

Ho controllato le intestazioni dei files dei singoli plugin e non �
presente codice maligno.

L'unico modo per sistemare le cose pare essere cancellare e ricaricare
le cartelle dei plugin.

Il fornitore non aiuta ad individuare il problema, voi cosa ne pensate?

Grazie e ciao

Paolo

[Paolo E.]

Il 10/10/2014 10:22, Paolo E. ha scritto:
>
>
> Il fornitore non aiuta ad individuare il problema, voi cosa ne pensate?
>
>

Mi rispondo da solo: tutte le installazioni sono state hackerate tramite
l'aggiunta di una cartella di plugin chiamata research_plugin_... (tre
lettere che variano) e cambiando il codice nel file
wp-content/plugins/index.php

Paolo

[Gabriele - onenet]

Paolo E. wrote on 10/10/14 10.50:

Ciao Paolo,

potresti spiegare se hai capito come sono entrati e modificato le
installazioni? E quale era lo scopo di quelle modifiche?

Ti consiglio di installare Wordfence per arginare gli attacchi e anche per
avere un'immediato avviso quando cambia qualcosa nei plugin/temi/WP; capita a
volte che mandi avvisi per falso positivo su certe localizzazioni, ma se ti
vengono modificati file importarti è un ottimo modo per vedere subito le
differenze (ti mostra a schermo i file affiancati evidenziando le modifiche).

Gabriele

[Paolo E.]

Il 10/10/2014 11:47, Gabriele - onenet ha scritto:
>
>
> potresti spiegare se hai capito come sono entrati e modificato le
> installazioni? E quale era lo scopo di quelle modifiche?
>

No, non ne ho idea.

La versione di WP è la più aggiornata, i plugin sono quelli di uso più
comune, niente di esotico (All in One SEO Pack, WP Super Cache, NectGen
Gallery ecc.).

Sono stati modificati i files:

wp-content/index.php
wp-content/themes/index.php
wp-content/plugins/index.php

che sono di base files "vuoti" e sono stati riempiti di codice criptato.

La società di hosting dà la colpa a qualche falla di WP ma a me pare
impossibile: 9 installazioni su 9 domini diversi attaccate, tutte e sole
quelle presso quel fornitore ... trattasi di fornitore già dimostratosi
poco affidabile, penso che sposterò tutti i siti.

Paolo

[Paolo E.]

Il 10/10/2014 14:19, Paolo E. ha scritto:

>
> Sono stati modificati i files:
>
> wp-content/index.php
> wp-content/themes/index.php
> wp-content/plugins/index.php
>

Anche il file wp-config.php è stato manomesso.

Paolo

[cande...@gmail.com]

Salve,

anche a me è successa la stessa cosa. Diversi siti sullo stesso hosting sono andati in tilt. Tutti mi davano errori strati, plugin disattivati o anziché il sito appariva un messaggio di errore.

In tutte le intestazioni dei file c'era un codice strano. L'hosting non mi ha dato nessuna risposta circa gli errori, dicendomi che non riguardava la parte server e che quindi non era un loro problema.

Sarà lo stesso hosting?

[ciccio]

cande...@gmail.com <cande...@gmail.com> ha scritto:

evidentemente... Cambiate hosting che è meglio

[Leonardo Serni]

Wordpress lo avevi installato tu, oppure era fornito dall'hosting?

Perche' "intestazioni di file strane" in questo contesto significano "codice
PHP impestato mediante plugin Wordpress vulnerabile".

Per cui chi aveva in gestione quel Wordpress e' stato un bischero e non l'ha
mantenuto aggiornato e sicuro.

Cosi' la domanda e', "chi e', che aveva in gestione quei Wordpress?". Non le
operazioni di immissione contenuti, eh: dico proprio l'INSTALLAZIONE e poi i
necessari interventi di manutenzione/controllo.

Leonardo

--

Questi non hanno speranza di morte; e la lor cieca vita e' tanto bassa,
Che 'nvidiosi son d'ogne altra sorte. Fama di loro il mondo esser non lassa;
Misericordia e Giustizia li sdegna; non ragioniam di lor, ma guarda e passa.

[cande...@gmail.com]

Comunque per essere utile, ho risolto cancellando completamente tutti i file del sito e reinstallando wordpress, tema, etc.

Per fortuna wordpress è basato su database e quindi i file possono sempre essere sostituiti!!

[cande...@gmail.com]

I siti erano tutti gestiti da me, ma la questione è che il problema ha colpito diversi siti che avevano temi e plug in diversi l'uno dall'altro.

[Paolo E.]

Il 13/11/2014 17:27, cande...@gmail.com ha scritto:
> I siti erano tutti gestiti da me, ma la questione è che il problema ha colpito diversi siti che avevano temi e plug in diversi l'uno dall'altro.
>

C'è un mio thread di qualche settimana fa, si tratta di un attacco che
consiste nel modificare una serie di file dell'installazione a partire
da wp-config nonché wp-content/themes/index.php,
wp-content/plugins/index.php ed altri.

Ho risolto ripristinando questi files, reinstallando i plugins e
proteggendo il sito con Wordfence.

A me è successo su tutti i siti in WP su un certo hosting quindi secondo
me la responsabilità del suddetto è evidente, anche se hanno negato.

Paolo

[Leonardo Serni]

On Fri, 14 Nov 2014 08:14:29 +0100, "Paolo E." <nos...@nospam.it> wrote:

>A me è successo su tutti i siti in WP su un certo hosting quindi secondo
>me la responsabilità del suddetto è evidente, anche se hanno negato.

Se WP era fornito nel pacchetto dell'hosting (anche come opzione, anche come
installazione su tua richiesta), allora si', salvo clausole contrarie dentro
al contratto di hosting (es. "Devi controllare tu gli upgrade").

Visto che il sito smajalato e' una brutta pubblicita' per l'hosting e ha dei
costi diretti [banda, risorse] e indiretti [assistenza], di norma i migliori
hosting ti "vendono" (a prezzi molto bassi) anche la manutenzione ordinaria.

(D'altro canto, spesso NON ti attivano qualche plugin esoterico, perche' non
avrebbero le risorse per gestirli/manutenerli tutti, ma solo i piu' comuni).

[Paolo E.]

Il 14/11/2014 19:05, Leonardo Serni ha scritto:

>
> Se WP era fornito nel pacchetto dell'hosting (anche come opzione, anche come
> installazione su tua richiesta), allora si', salvo clausole contrarie dentro
> al contratto di hosting (es. "Devi controllare tu gli upgrade").
>

Intendevo dire che, secondo me, non sono riusciti ad hackerare le mie
installazioni per debolezze delle stesse bensì passando da qualche altra
parte nel server.

Non sono abbastanza tecnico di queste pratiche per formulare un giudizio
definitivo, infatti non ho lanciato accuse e non ho pubblicato il nome
della società di hosting, tuttavia considerando quanto segue:

- ultima versione di WP
- plugin aggiornati, nessun plugin "strano"
- TUTTE le installazioni su quel fornitore attaccate
- NESSUNA installazione su altri fornitori attaccata

mi suona quantomeno sospetto.

Paolo

[Leonardo Serni]

On Mon, 17 Nov 2014 09:36:20 +0100, "Paolo E." <nos...@nospam.it> wrote:

>> Se WP era fornito nel pacchetto dell'hosting (anche come opzione, anche come
>> installazione su tua richiesta), allora si', salvo clausole contrarie dentro
>> al contratto di hosting (es. "Devi controllare tu gli upgrade").

>Intendevo dire che, secondo me, non sono riusciti ad hackerare le mie
>installazioni per debolezze delle stesse bensì passando da qualche altra
>parte nel server.

Potrebbero essere passati da FTP, forse. Chi ci lavora, su quei siti?

>Non sono abbastanza tecnico di queste pratiche per formulare un giudizio
>definitivo, infatti non ho lanciato accuse e non ho pubblicato il nome
>della società di hosting, tuttavia considerando quanto segue:

>- ultima versione di WP
>- plugin aggiornati, nessun plugin "strano"
>- TUTTE le installazioni su quel fornitore attaccate
>- NESSUNA installazione su altri fornitori attaccata

>mi suona quantomeno sospetto.

Bisognerebbe capire come hanno fatto da una installazione a vedere le altre.

Un file PHP su una installazione, cosa vede, del disco che gli sta attorno?

(In teoria non dovrebbe vedere NIENTE se non al limite una /bin virtuale, ed
un /tmp altrettanto fake. In pratica... a volte si vedono cose che voi umani
non potete neanche immaginare. Dischi USB di backup montati R/W al largo dei
bastioni di Orione... perche' in fondo, con cosa fa rima Orione? Eccetera).

In alternativa, sapendo il nome del sito e' possibile risalire al maintainer
o agli altri virtualhost via DNS o WHOIS o altro sistema automatico? Se si',
avremmo una *possibile* spiegazione, non necessariamente giusta.

[rootkit]

Il Mon, 17 Nov 2014 09:36:20 +0100, Paolo E. ha scritto:


> Intendevo dire che, secondo me, non sono riusciti ad hackerare le mie
> installazioni per debolezze delle stesse bensì passando da qualche altra
> parte nel server.

domanda da semi-profano (non gestisco nessun sito di terze parti): ma ha
ancora senso affidarsi a hosting tradizionali quando esistono quantomeno
dei paas (es. openshift)? lo chiedo perché il costo a parità di
prestazioni spesso è più basso (addirittura si entra gratis e con un
piano che ha ben poco da invidiare ad un hosting condiviso).