Domini hackerati con codice malevolo

[robertino_salemi]

Buongiorno a tutti,
ho diversi domini su Aruba, scorsa settimana ne hanno hackerati due realizzati tramite CMS Wordpress inserendo del codice malevolo.
La tecnica è sempre la stessa, hanno installato un plugin per l'upload di file e nella relativa directory ho ritrovato tutti i file infetti.

Ieri ricevo la mail in merito ad un altro sito hackerato, sempre hostato da loro, ma realizzato in PHP.

A questo punto mi chiedo: il problema può dipendere da loro?

Qualcuno di voi in questi giorni ha riscontrato lo stesso problema?

Grazie.

[Nuke987]

Al 99% la colpa è tua o comunque di chi gestisce i siti in questione e/o la VPS. WordPress è il CMS più popolare al mondo e Dio solo sa quanti milioni di lamer con eserciti di bot al seguito esistono sulla faccia della terra che 24 ore su 24 cercano falle. Generalmente in un WordPress (ma lo stesso discorso vale per qualsiasi altro software) si entra per due motivi:

• Il core non è aggiornato. In altre parole esegui una versione vecchia di WordPress
• Utilizzi plugin vecchi, vulnerabili, malevoli, da fonti non sicure e chi più ne ha più ne metta

È altamente improbabile che sia un problema di Aruba o comunque dell'hosting provider al quale ti appoggi. Aggiungo che è inutile rimuovere i file che sono stati caricati e/o i codici aggiunti finché non tappi la falla. Diversamente passerai ogni giorno ad eliminare file che di lì a poco saranno nuovamente ricaricati.

[robertino_salemi]

Non volevo dare la colpa al mio fornitore di hosting, ma dal momento che ben tre siti web realizzati con tecnologie diverse (CMS e PHP) sono stati hackerati il dubbio sorge...

Ovviamente, come dici tu, nel caso di Wordpress il problema è dovuto al core non aggiornato così come i plugin, nel caso di PHP il problema forse riguarda la versione di PHP usata dal dominio in questione.

[Nuke987]

Possiamo stare a discutere per ore se la colpa è di PHP piuttosto che di MySQL, Laravel e quant'altro. Dico solo che statisticamente la fonte del problema la qualsi totalità delle volte è nel CMS stesso, nel modo errato in cui è stato utilizzato, nella mancata cura della sicurezza (password/accessi) oppure in uno degli innumerevoli plugin esistenti.

Per dirne una i file uploader che popolano qualsivoglia CMS sono uno dei principali sistemi utilizzati per caricare una backdoor con la quale si fanno le cose che hai descritto.

La possibilità che sia stato violato un server intero, immagino gestito da Aruba e con migliaia di altri siti al suo interno, personalmente la valuterei in seconda analisi se non terza. E comunque sia se anche se anche fosse PHP basterebbe passare ad una versione più aggiornata nel caso in cui stessi eseguendo ancora una 5.x piuttosto che le prime della 7.

[robertino_salemi]

Sicuramente, i plugin possono aumentare tale vulnerabilità.

I domini in questione utilizzavano una versione di PHP 5.x che ho provveduto ad aggiornare alle 7.2

[Everlind]

Non è semplice valutare le colpe in questi casi.

Indubbiamente, l'utilizzo di versioni ormai datate di software sul server (come nel tuo caso PHP 5 ma quando da poco è uscita la 7.4) sicuramente non aiuta. Probabilmente ti conviene cambiare hosting e sceglierne uno un pò più sicuro e attento da questo punto di vista.

Occhio anche al CMS che utilizzi; tienilo sempre aggiornato e con le misure di sicurezza del caso.