Su un sito, evidentemente vittima di un attacco, è stato inserito uno script che periodicamente si connette a siti esterni. Questo script non è nel template, anche perché si attiva anche quando si è dentro l'admin.
Esiste un modo per tracciare da quale parte di WP arrivi il codice della chiamata?
Nessuna idea?Originariamente inviato da Tecnology
Su un sito, evidentemente vittima di un attacco, è stato inserito uno script che periodicamente si connette a siti esterni. Questo script non è nel template, anche perché si attiva anche quando si è dentro l'admin.
Esiste un modo per tracciare da quale parte di WP arrivi il codice della chiamata?
Se carico la pagina su chrome e premo F12 la riga incriminata mi dice questo
go.php
green-grtlmpkqtw.dns-stuff.com
Il dettaglio Headers:
Request URL:http://green-grtlmpkqtw.dns-stuff.com/go.php?sid=mix
Request Headersview source
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer:http://aquattrozampe.loc/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.19 (KHTML, like Gecko) Ubuntu/12.04 Chromium/18.0.1025.168 Chrome/18.0.1025.168 Safari/535.19
Query String Parametersview URL encoded
sid:mix
Come faccio a capire quale parte di WP genera questa chiamata?
Non sono i plugin, abbiamo già provato a disattivarli tutti, il problema persiste.
Purtroppo non ho idea di come darti una mano, conosco un plugin che fa da counter e sa dirmi tutte le IP ecc, ma da quanto ho capito non è quello che stai cercando...
No infatti... quando carico una qualsiasi pagina del mio sito (anche una pagina di admin, non solo del front end) esegue una chiamata a quella url.Originariamente inviato da piadina82
Purtroppo non ho idea di come darti una mano, conosco un plugin che fa da counter e sa dirmi tutte le IP ecc, ma da quanto ho capito non è quello che stai cercando...
Devo capire da quale punto la fa per riuscire ad eliminare il problema ma non ho idea di come intercettarla... so solo che la fa
Ciao
Il file go.php è sicuro che ce l' hai, visto che il codice viene comunque passato. Cerca tale file in qualche plugin.
Controlla inoltre nel database se vi è qualche tabella tipo wp_linkclicks o simili.
Hai forse installato qualche plugin di statistiche?
blackpanth
No nessun tipo di plugin di statisticheOriginariamente inviato da blackpanth
Ciao
Il file go.php è sicuro che ce l' hai, visto che il codice viene comunque passato. Cerca tale file in qualche plugin.
Controlla inoltre nel database se vi è qualche tabella tipo wp_linkclicks o simili.
Hai forse installato qualche plugin di statistiche?
Ciao
Prova a cambiare tema e vedi se noti differenze...
blackpanth
Io prima di tutti proverei a controllare l'installazione di wordpress per essere sicuro che non sia infetta da virus malware ecc... e poi mi preoccuperei del resto.Originariamente inviato da Tecnology
No nessun tipo di plugin di statistiche
Fai una ricerca per qualche plugin sul sito wordpress.org ne esistono di molto buoni, ad esempio un plugin che rileva eventuali malware si chiama gotmls oppure wp-malwatch.
Altro plugin "Exploit Scanner"
Un'altro molto buono "6Scan Security"
Prova a vedere anche il plugin "wp system health"
Esistono anche plugin antivirus.
Ciao
Permessi di invio
Rispondi quotando