Server infetto? E mio pc

[gferrari77]

Ciao.oggi qualcuno è entrato o ha scassinato con un sito su un piccolo server in rete che gestivo con plesk.mi sono trovato con il sito che dava errore generico di WordPress.ho visto il pannello plesk e l antivirus (immunify) mi dava 200 file infetti.ho provato a cancellare tutto il sito e a ripristinare il tutto da backup sul server e tutto si è rimesso ad andare.il problema è che l antivirus di plesk mi dà ancora molte segnalazioni di infezioni.ho provato anche a ripristinare un backup vecchio che avevo sul desktop e ancora segnalazioni di virus.non capisco.o che l antivirus di plesk( che non è registrato) da segnalazioni errate o che ho tutto infetto da malware anche il desktop.tutto è in PHP ma prima di ieri non avevo mai avuto segnalazioni di malware.voi che pensate? Grazie intanto

[DoctorStrange]

Se prima non capisci come abbiano fatto ad infiltrarsi e violare il tuo server, mi pare inutile continuare a tentare di ripristinare un backup. Attività sospette come queste vanno indagate con cura. Metti offline, intenzionalmente sia il sito che il server. Scopri se l'antivirus ti da qualche indizio su quale tipo di attacco possa essere stato. Controlla se questo duecento file hanno qualcosa in comune. Controlla i log di sistema e vedi se c'è traccia di qualche infiltrazione fraudolenta. Forse qualche porta incautamente rimasta aperta sul firewall, oppure qualche servizio esposto è stato violato. Se disponi comunque di backup, io procederei a reinstallare da zero l'intero sistema operativo, oppure a segnalare l'accaduto al provider che hosta il tuo sito e chiedere un ripristino totale della macchina.

[OMBRA_Linux]

Beh innanzitutto i Backup vanno fatti periodicamente per avere sempre una copia Pulita e funzionante.
In secondo luogo se dici che continua a dare avvisi di infezioni quello che puoi fare e ricercare in rete cosa dicono di quei avvisi e cercare una soluzione.
Calcola l'ipotesi che potrebbero essere anche dei falsi positivi, ma bisogna sempre esserne sicuri se si vuole risolvere il problema.
Inoltre che tu metta il Sito Off o lo metta in On non ha rilevanza se ti da lo stesso quei avvisi di infezione, poi dipende dal Sito in questione, e cioè se può danneggiare utenti esterni allora meglio metterlo Off-line.

Infine, come ti hanno già consigliato, sapere la provenienza della violazione fa ''Dormire sogni tranquilli''

[Stealth]

Sito e server offline se vuoi indagare sull'infezione, con wordpress bisogna fare attenzione ai temi e sopratutto ai plugins. Poi reset macchina e sito rifatto da zero, visto che anche il backup sembra compromesso. Questo, naturalmente, è quello che farei se fosse successo a me

[gferrari77]

Stealth ho fatto come hai detto tu.il problema di rebbe essere risolto per adesso.va tutto.lascia che ti spieghi perché non l' ho ancora messo online.sono problemi da principiante lo so ma te li dico.ho due cartelle da 100 GB ciascuna che contengono molte immagini in queste cartelle qualche malintenzionato mi ha messo degli @include nei file index.php.io ho rimosso con un grep tutti quegli include e adesso l antivirus non mi segnala più neanche un errore.il problema è: 1)come metto gli index.php vuoti stavolta in tutte le cartelle per impedire la navigazione?2)come setto i permessi dei file e delle cartelle? Per la 1) è un lavoraccio ho 89000 cartelle c è un sistema bash o da riga di comando per inserirlo automaticamente? Grazie queste due cartelle mi davano i file infetti il malintenzionato inoltre aveva inserito degli .htaccess malvagi nelle cartelle.tutti eliminati con un find seguito da una cancellazione .grazie a tutti