web analytics
Pubblicità

di Giancarlo Nicoli

È capitato anche a me.

Penso di essermene liberato. Come ho fatto? Ho seguito le istruzioni fornite qui:
http://forum.swzone.it/sicurezza/113817-avast-individua-html-iframe-inf.html

La differenza rispetto a quanto pubblicato sul forum indicato è che non ho postato i file di log, non ne ho avuto bisogno, ho fatto da me.

Vorrei scendere un po’ più in dettaglio e raccontare l’esperienza personale, con la speranza che possa essere di aiuto a voi lettori.

Mentre navigavo innocentemente sul mio stesso sito, per verificarne le impostazioni, mi sono accorto che non riuscivo più a scrivere post. Ho tentato di aggiornare WordPress, ma il sito si bloccava senza effettuare aggiornamenti. A quel punto ho pensato a un virus.

Ho fatto partire due scansioni, una dopo l’altra. La prima con l’antivirus residente Avast, la seconda con Trend Micro HouseCall, che è un antivirus online gratuito. In effetti ho trovato dei virus, più di uno.

Dopo Avast e Trend Micro HouseCall, ho lanciato SuperAntiSpyware, che ha individuato un ulteriore virus, che i primi due sistemi non avevano rilevato.

Ho usato due volte ComboFix.

Dopo aver pulito il computer, navigando su questo sito, Scoprire.biz, leggevo messaggi di avvertimento da parte di Avast, che mi segnalava di avere bloccato un’intrusione di tipo Trojan. Questo significava che il virus, residente sul mio computer, era riuscito a carpire ID e password di accesso al sito e lo aveva infettato.

Ho prontamente segnalato la situazione al provider, BlueHost, che mi ha risposto così:

Hi-

Thanks for providing that. Sorry you’re having a problem. However, we here at Bluehost don’t specialize in security and usually recommend that if you have been infected that you contact a 3rd party company who does handle that. Here is some information that I usually send out when dealing with these kinds of matters:

When this happens to a site it is likely there is an unpatched vulnerability. I recommend contacting a malware / virus removal service. We have referred many of our clients here in such cases:

http://wewatchyourwebsite.com

or

http://sucuri.net

You will also want to review these links to help you arm yourself against future hacking.

1. Review these articles:
http://25yearsofprogramming.com/blog/20070705.htm
http://helpdesk.bluehost.com/index.php/kb/article/000511

2. How to prevent hacking:
http://googlewebmastercentral.blogspot.com/2009/02/best-practices-against-hacking.html
http://www.hackingalert.com/hacking-articles/hacker-tricks.php
http://www.squidoo.com/protect-your-website-against-hacking

3. Tips
Prevent Google Hacking
http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1196049,00.html

Il sito Sucuri ha una pagina in cui è possibile verificare se un sito è infetto oppure no. Il mio, purtroppo, come temevo, lo era.

Per fortuna è stato abbastanza semplice ripulirlo – almeno così mi è sembrato inizialmente. Il virus si era annidato in testa alle pagine di template. Con l’editor ho visualizzato e ripulito tutte le pagine, una alla volta.
Pensavo di essere a posto, invece il virus è tornato. Disperazione! Forse un po’ di codice auto-replicante era andato a nascondersi nel database. Ora, di informatica ne capisco un pochino, ma non sono certo un mago. Maneggiare il database è al di fuori delle mie possibilità.

Siccome avevo capito che – per ripulire il sito – avrei impiegato una quantità di tempo imprecisata, ho installato un plugin, Maintenance Mode, configurato in modo da disabilitare la navigazione sul sito, avvertire i visitatori e possibilmente non farli infettare.

Ho recuperato una (purtroppo) vecchia copia di backpupe ho cercato di ripristinare il sito, ma non ci sono riuscito! Panico assoluto! Affrontavo la possibilità di perdere quattro anni di lavoro. Però, mentre trafficavo nel pannello di controllo di BlueHost, per cercare di capire come caricare la vecchia copia di backup che avevo, ho trovato la possibilità di ripristinare il sito con una copia di backup effettuata da BlueHost stesso, copia che era precedente di un mese rispetto alla data in cui stavo cercando di rimediare al danno, e di circa quindici giorni precedente la data di presunta infezione del sito. Se avessi ripristinato quel backup, non avrei perso nulla! Così ho fatto, e il tutto è consistito in un semplice click.

Ho tirato veramente un sospiro di sollievo.

Lezione imparata sulla mia pelle: effettuare spesso copie di backup, perché servono quando uno meno se lo aspetta.

Ora mi aspettava un altro compito: migliorare la sicurezza dell’installazione di WordPress. Su una delle pagine, dedicate all’argomento sicurezza, che ho visitato (non ricordo quale), ho trovato menzione del plugin Better WP Security. L’ho installato e – passo dopo passo, con molta prudenza – ho iniziato ad applicare le varie procedure di sicurezza proposte dal plugin.

Stranamente, però, mi sono accorto di avere ancora il sito infettato. Sono andato a ripulire le varie pagine non più attraverso la dashboard di WordPress ma direttamente dal File Manager del pannello di controllo. Ho ripulito tutte le pagine, le ho protette da scrittura (si imposta il codice su 0444 – la spegazione tecnica di come ho fatto va al di là delle mie possibilià divulgative), ho cancellato tutti i temi che avevo installato ma che non erano in uso e che erano tutti infettati. Ho effettuato un nuovo scan con sito Sucuri e ho finalmente avuto il risultato che speravo: il sito è ora pulito.

Anche il computer è ripulito.

Navigando qua e là sulle pagine che danno consigli su come affrontare le infezioni virali sia sul computer che sul sito web, ho trovato un plugin per WordPress che assicura una copia di backup del sito conservata esternamente sia al vostro sito che al vostro computer: Dropbox. L’ho installato e funziona perfettamente. È necessaria la registrazione.

Durante tutto il periodo in cui il sito è risultato infetto, ogni notte ho fatto analizzare il mio computer da diversi programmi e servizi antivirus e antimalware. Li elenco per comodità vostra e anche mia, casomai dovessi nuovamente aver bisogno:

Programmi installati e residenti sul computer:

Programma installato e poi rimosso:

Programmi antivirus non residenti, da lanciare online:

Plugin di WordPress installati dopo la disavventura:

Siti che consentono la scansione di altri siti:

 

Aggiornamento del 13 maggio 2012

Il malware non era stato debellato. Il giorno successivo alla pulitura e alla stesura di questo post mi sono ritrovato con il sito nuovamente infetto. Ho dovuto ricominciare tutto da capo. Ho sviluppato una routine di lavoro un po’ più veloce e (questa volta) ho salvato tutti i file con estensione .php sul computer di casa. Dovesse accadere ancora, avrei la possibilità di ripristinare la funzionalità del sito in modo più veloce.

Il fatto che il sito sia stato nuovamente modificato significa che il programma che lo altera è residente nel server, perché dopo la prima infezione avevo cambiato tutte le password e ho evitato di salvarle in qualche file di testo sul computer.

In una qualche pagina dedicata ai consigli su come debellare le infezioni dei server (spiacente, non ricordo quale e non avevo preso nota) avevo trovato l’indicazione del fatto che, qualche volta, le istruzioni per far partire il javascript che altera le pagine in .php e inietta il codice malevolo sono inserite nel file footer.php. Sono andato a vedere e ho notato una riga sospetta (l’ho cancellata senza tenerne copia) là dove era presente il codice di Google Analytics. Sono andato sul sito Google e ho recuperato il codice Analytics, che ho sostituito a quello precedente. Erano diversi. Ho poi cancellato quattro file, che avevano estensione .tar.gz, vecchi di quasi quattro anni, residenti nella cartella /public_html.

Sarà stato quello, oppure sarà stata la messa in funzione del plugin Better WP Security, o forse tutte e due le cose, fatto sta che per tre giorni il sito è scampato agli attacchi.

Stasera ho trovato tutti i file modificati, ma nessuno affetto da codice maligno. Mi è arrivata una email da BlueHost, il provider su cui è situato Scoprire.biz, che mi avverte del fatto che

This notice is to inform you that we have detected malicious code in your website files. We have compiled a list of compromised files on your account, as well as the code injected, below.

In order to maintain a secure hosting environment, we will be automatically correcting these compromised files on your account

Tradotto, viene più o meno così: abbiamo trovato codice maligno nel tuo sito web. Inviamo la lista dei file compromessi sul tuo sito, insieme al codice. Per mantenere un ambiente di hosting sicuro, correggeremo automaticamente questi file compromessi del tuo sito.

Con il che, non ho però capito se l’email è tardiva oppure se nel pomeriggio il sito è stato attaccato nuovamente e poi prontamente risanato, perché stamattina era ancora tutto a posto, e stasera era tutto come lo avevo lasciato stamattina. Mistero.

Qualora gli attacchi proseguissero e l’attaccante riuscisse nuovamente a infettare il sito, mi troverei costretto ad azzerare tutto e installare da capo WordPress e poi caricare il database, che nel frattempo ho esportato e controllato (è pulito).

 

Siamo giunti al termine dell’articolo. Esso è stato scritto con sincerità e scrupolosità. Se – ora o in futuro – desideri creare un nuovo sito, o trasferirne uno esistente, con BlueHost, ti invito a servirti del link seguente: vai sul sito BlueHost!. Caro lettore, ti informo che ricevo una commissione per ogni conto aperto.

I link sono stati controllati e risultano funzionanti alla data di aggiornamento del presente post (14 maggio 2012).

 

di Giancarlo Nicoli

Gestisco tre siti con WordPress (WP):

Artifex è gestito con Register, Scoprire e Farmacia di Fenegrò sono con BlueHost.

Il 4 luglio 2011 è stato reso disponibile WordPress nella versione 3.2. Si sapeva da tempo – da quasi un anno – che i requisiti minimi per far girare la nuova versione di WP sarebbero cambiati. La versione 3.2 gira con PHP 5.2.4 e MySQL 5.0.

La transizione con i siti ospitati da BlueHost è stata immediata: appena resa disponibile la versione 3.2, ho potuto aggiornare WP sia su Scoprire che su Farmacia di Fenegrò. Le macchine e i software BlueHost erano pronti.

Con Register la musica è stata completamente diversa. Non ho potuto aggiornare WP. Ho chiesto spiegazioni all’assistenza, e a partire da questo momento ho avuto uno scambio di email, che non esito a definire surreale.

La mia prima email all’assistenza Register risale al 10 luglio 2011.

A proposito del dominio artifexlibris.com, è uscita la nuova versione di WordPress.

La pagina degli aggiornamenti di WordPress mi dice: “Non è possibile effettuare l’aggiornamento perché WordPress 3.2 richiede MySQL versione 5.0 o superiore. Si sta utilizzando la versione 4.1.23.”.

Sono andato a controllare e le vostre specifiche indicano che il server Linux viene fornito con il Mysql 5.0.77 .

Per me è un rompicapo: posso aggiornare oppure no? Per quale ragione WordPress mi dice che si sta usando la versione 4.1.23 se invece in uso è la 5.0.77?

Ci credereste? Non è possibile aggiornare in automatico la versione di  MySQL dalla 4.1 alla 5.0 in quanto la piattaforma MySQL 5.0 viene fornita su un server diverso dalla 4.1! L’utente deve provvedere da sé! Con tanto di istruzioni: eseguire un dump del database in uso (ti prendono anche in giro, mettono tra parentesi: “da fare con attenzione” – ma va?); rimuovere il database in versione 4.1 (perché con il normale piano di hosting, che permette di usare WP, Register ti dà un solo database — BlueHost ne offre 100 (cento!) con il pacchetto base, che costa a partire da 6,95 dollari al mese), crearne un altro – questo sarà creato su mysql 5, sarà necessario attivare anche un nuovo utente mysql.

Poi si deve procedere con il restore del dump del database su quello nuovo: tramite PHPMyAdmin va aggiornato il file del sito che contiene la stringa di connessione al database con i nuovi dati.

Tutto chiaro, no?

Non potevo non rispondere!

Buonasera,
mi guardo bene dal mettermi a trafficare con i database. Curo siti ma non sono un maghetto.

Non mi resta che aspettare che Register passi a piattaforme più aggiornate…

Grazie per quello che ha potuto fare.
Cordialità,
Giancarlo Nicoli

P.S: ho due siti con BlueHost, su entrambi uso WordPress e ho potuto aggiornare WP immediatamente dopo il rilascio della nuova versione.
Che in direzione a Register non si lamentino se perdono clienti.

Mi sembrava di sbattere contro un muro di gomma: mi rispondono informandomi che le piattaforme di Register.it sono già aggiornate, come indicato nella precedente risposta, solo che l’operazione di migrazione dalla macchina MySQL 4.1 alla macchina MySQL 5.0 non la fa Register ma la deve fare il cliente, seguendo la procedura precedentemente indicata.

Ma come glie lo dovevo spiegare che avevo paura a farla, questa migrazione? Perché BlueHost l’ha fatta senza problemi, di default vorrei dire, ti svegli la mattina e ti trovi il compito fatto senza nemmeno accorgerti, con Register devi arrangiarti? Ero disposto a pagare a parte purché me lo facessero loro:

Buongiorno,
due domande ancora:

1 – quindi, se non intervengo io, la versione di MySQL resterà PER SEMPRE la 4.1.23.?

2 – non sono in grado di intervenire sul database e su PHPMyAdmin, né intendo farlo. Potete farlo voi? Intendo dire, se il servizio non fa parte del mansionario e del pacchetto da me acquistato, sono disposto a pagare a parte (previo preventivo).

Grazie per l’attenzione.
Cordiali saluti,
Giancarlo Nicoli

Non c’è stato verso, neanche a pagare. Mi confermano che se non verrà effettuato il passaggio manuale, il database rimarrà attivo con la versione 4.1. Mi consigliano comunque di effettuare l’upgrade per motivi di sicurezza oltre che per poter aggiornare l’applicazione utilizzata. Mi dicono che il Supporto Tecnico non effettua questo tipo di operazioni, mi invitano a eventualmente contattare un webmaster per eseguire l’upgrade.

Mi sono arreso, ho fatto da me. Ho passato mezza giornata a fare un backup completo, ho salvato sul computer proprio tutto (beh, quasi tutto, come spiegherò poi..).

Mi sono messo di buzzo buono e ho eseguito il dump del database in uso – in italiano diventa che si scarica sul computer una copia del database. Ho cancellato il database in uso e ne ho creato un altro. Sorpresa! Il nuovo database non importa i dati di quello vecchio! Panico! Che cosa  fare? Voi maghetti del computer non prendetemi in giro, per cortesia. Sono certo che c’è una soluzione semplicissima. Solo che non la conosco. Io ho scelto WordPress perché è facile da usare. Di mestiere faccio il farmacista, che cosa ne so di database?

Mi sono sentito perduto.

Ho cancellato il nuovo database, che tanto non mi serviva. Ho installato da zero un nuovo WP. Poi ho ricopiato TUTTI i file dal computer al server. Il sito è tornato a vivere… con due ma:

  1. Ho perso le impostazioni del tema (stranamente sono rimasti intatti l’header e il footer – chissà perché), sono passate due settimane e nei ritagli di tempo sto ancora mettendo a posto le widget.
  2. Le immagini non sono più visibili, è successo qualcosa durante il ricarico dei file. Mi tocca aprire ogni post (ce ne sono 230 in tutto, ma quelli contenenti immagini sono di meno – grazie al cielo) e correggere manualmente il codice HTML relativo alle immagini.

È probabile che in futuro aprirò nuovi siti: ho dei progetti che mi piacerebbe realizzare, compatibilmente con gli impegni di lavoro e il benessere della mia famiglia. Userò BlueHost, non ci sono dubbi.

Siamo giunti al termine dell’articolo. Esso è stato scritto con sincerità e scrupolosità. Se – ora o in futuro – desideri creare un nuovo sito, o trasferirne uno esistente, con BlueHost, ti invito a servirti del link seguente: vai sul sito BlueHost!. Caro lettore, ti informo che ricevo una commissione per ogni conto aperto.

di Giancarlo Nicoli

Oltre a Scoprire, gestisco altri siti con WordPress, il più importante è Artifex.

Sono anni che ricevo finte iscrizioni al sito, circa una al giorno. Ogni tanto entravo nel pannello di controllo, nella sezione utenti, e cancellavo quelli falsi.

Circa una settimana fa le false iscrizioni sono diventate, proprio da un giorno con l’altro, una trentina ogni 24 ore. Tantissime! Che cosa fare per arginarle?

Una soluzione poteva essere quella di chiudere le iscrizioni al sito a tutti. Ma mi sarebbe sembrato di darla vinta agli spammer.

Mi son messo a cercare con Google, usando parole in inglese, tipo block wordpress spam registration. Il primo risultato (alla data di pubblicazione del presente articolo: si sa, le cose col tempo cambiano) è un post del blog di Lorelle. Ma è un articolo che non offre soluzioni. Forse è stato scritto per attirare click?

Il terzo risultato porta a Sabre. Aaah, Sabre! Ho trovato ciò che cercavo. Sabre, cioè Simple Anti Bot Registration Engine. In italiano, semplice programma che impedisce le finte iscrizioni. L’installazione è molto rapida. Non c’è nemmeno bisogno di scaricare il plugin dalla pagina di WordPress, infatti è sufficiente partire dal pannello di controllo del vostro sito, andare nella sezione Plugin, cercare Sabre e installarlo automaticamente.

Come è scritto nella pagina dell’autore, se i vostri visitatori hanno il permesso di iscriversi gratuitamente al vostro blog e ora siete inondati da finti utenti creati automaticamente dagli spammer, Sabre è la soluzione per bloccare i visitatori robotizzati.

Sabre protegge dalle finte iscrizioni grazie ad alcuni controlli: c’è un filtro captcha (cioè si chiede a chi registra di trascrivere un testo generato automaticamente, testo leggibile da una persona ma non da un programma di registrazione) e c’è un filtro che chiede il risultato di una operazione matematica nel modulo d’iscrizione.

Si può inoltre impostare Sabre perché chieda all’utente di confermare l’iscrizione mediante un link che viene spedito via email. Tale conferma deve avvenire entro un periodo di tempo che il webmaster può impostare liberamente.

Ho installato Sabre da meno di una settimana e tale plugin mi ha bloccato finora più di ottocento finte registrazioni. Lo consiglio vivamente.

Concludo facendo notare che esiste una localizzazione in italiano, fornita da Gianni Diurno.

di Giancarlo Nicoli

Qualcuno potrebbe aver letto l’articolo, da me scritto ormai un anno e mezzo fa, in cui magnificavo le doti di WordPress. Va ricordato che WP offre due piattaforme. Una è WordPress.com, sul cui sito è possibile aprire blog gratuiti, ospitati sui server di WP, che hanno una funzionalità leggermente ridotta rispetto all’altra; l’altra è WordPress.org, che offre il software gratuito, scaricabile, per gestire siti web indipendenti: è quello che sto usando per questo sito e – da qualche settimana, anche sul sito Artifex.

La notizia, in inglese, è qui:

I was very excited last week to learn that WordPress has been awarded the Overall Best Open Source CMS Award in the 2009 Open Source CMS Awards. This is a landmark for us, as it is the first time we’ve won this award, and it marks a shift in the public perception of WordPress, from blog software to full-featured CMS. No small contest, the Open Source CMS Awards received over 12,000 nominations and more than 23,000 votes across five categories.

As Hiro Nakamura said when he first bent time and space to land in Times Square: “Yatta!”

In addition to winning in the Overall Best Open Source CMS category, WordPress was named first runner-up in the Best Open Source PHP CMS category. This is significant because we weren’t even in the top 5 last year, and now we’re #2, ahead of Joomla! As is stated on the Award site, “WordPress made its way into the top five for the first time. The fact that it was outranked by Drupal by a very slight margin indicates how popular it has become with users as well as developers over the past year.”

Every day thousands of new people are embracing WordPress to power not just their blogs but entire sites and communities without compromising on usability or scalability (as would be the case with a legacy CMS). Every member of the WordPress community, from core developer to beginning user, should be proud to be part of this momentum: congratulations to us all!

La ditta che sponsorizza il premio è una casa editrice specializzata in libri riguardanti programmi, applicativi, programmazione legati a internet.

È uno dei siti che sono andato a visitare, quando ancora dovevo scegliere quale programma di impaginazione usare per i miei siti. Se volete sapere tutto sulle ultime novità nel mondo CMS, vi invito a verificare di persona.

Sono contento di aver avuto una conferma esterna alla bontà della mia scelta, effettuata in un momento in cui molti ritenevano WP più una piattaforma blog che un CMS. Cosa che era in parte vera, non lo nego, ma il potenziale era lì da vedere: i continui aggiornamenti, il numero rilevante di navigatori che lo sceglieva ogni giorno, la vivacità e l’entità dell’appoggio da parte della “comunità internet”, chiamiamola così.

La facilità di apprendimento e d’uso di WP sono incredibili, sono il motivo principale che mi ha portato alla scelta. Spero che gli aggiornamenti frequenti e lo sviluppo in generale della piattaforma continuino, perché di cambiare un’altra volta sistema proprio non ho intenzione!


P.S. Avverto che il sottoscritto non ha ricevuto e non riceve compensi dalle aziende citate in questo articolo. Non ho interessi economici di alcun tipo con tali aziende e vi prego di non contattare me se vi siete rivolti a loro in seguito al mio articolo e poi avete incontrato difficoltà. I link sono stati verificati e risultano funzionanti al momento della pubblicazione del presente articolo.

di Giancarlo Nicoli

Nei giorni scorsi mi sono occupato un paio di volte di OpenX, la piattaforma software per la gestione degli spazi pubblicitari online, gratuita, distribuita sotto licenza GPL.

A partire dal 18 gennaio di quest’anno, OpenX ha messo a disposizione di una ristretta cerchia di editori la versione “hosted” del proprio programma. In breve, ciò significa che gli editori avranno la possibilità di usare OpenX senza necessità di scaricare il software per poi installarlo sul proprio server. Ciò è particolarmente utile per i piccoli editori [Leggi tutto…]

di Giancarlo Nicoli

Novità recentissima da OpenX

OpenX, il popolare programma gratuito di gestione degli spazi pubblicitari, sta sviluppando plugin per i seguenti software CMS: Alfresco, Drupal, eZ Publish, Joomla!, WordPress.

In una mail spedita a editori iscritti a una loro lista, OpenX spiega di stare cercando editori, che usino particolari programmi CMS, che aiutino OpenX nello sviluppo di moduli e plugin. OpenX si rivolge agli editori perché aiutino a determinare le caratteristiche e la funzionalità in via di sviluppo (qui un recente blog post sull’argomento). I software interessati, al momento, sono: Alfresco, Drupal, eZ Publish, Joomla!, WordPress. Tali CMS sono stati scelti in quanto i più diffusi tra gli editori che usano (o vorrebbero usare) OpenX.

Si prevede di rendere il pannello di controllo di OpenX più semplice da [Leggi tutto…]

di Giancarlo Nicoli

Tag CloudL’immagine è una cortesia di BotheredByBees.

Come avevo scritto in un precedente articolo, sono un “convertito” alle tag, perché per molto tempo le ho considerate una funzione inutile, se non addirittura controproducente. Solo di recente ne ho compreso l’utilità.

Sì, le tag sono molto comode. Ma vanno tenute sotto controllo! La mia impressione è che [Leggi tutto…]

Next Page →

%d bloggers like this: