Ripristinare in pochi minuti un sito violato

Oggi, giorno nefasto per i miei siti, ho ricevuto ben due attacchi a due domini che gestisco da anni.

Mi sono sempre trovato benissimo col mio provider 1&1 ma evidentemente questa volta l’attacco era veramente serio e aggressivo e il provider non ha potuto fare altro che notificarmi di aver rilevato delle violazioni a due domini che mi riguardano.

Entrambi i domini in questione sono gestiti con l’ottimo CMS WordPress, erano regolarmente aggiornati e perfettamente mantenuti, ma non c’è stato nulla da fare: gli attacchi sono andati a buon fine e stamane ho ricevuto dal provider questo messaggio via email:

Attacco al Suo contratto 1&1: informazioni importanti [Ticket XXXXXXXXXXXXX]

Vado subito a vedere lo stato dei siti in questione ed erano entrambi fuori uso da un paio di ore.

I vandali hanno violato l’accesso, hanno inseriti dei file php che hanno totalmente stravolto e bloccato la funzionalità dei siti mostrando, agli utenti, una notifica del tipo accesso negato.

Tra l’altro su uno dei due domini mi accorgo di una improbabile registrazione di nuovo utente attivato come amministratore.
Dapprima provo a cancellarlo poi tento di rimuovere i file .php che sono stati inseriti fraudolentemente, ma niente: il sito non si riattiva e temo di non poter far nulla se non ripristinare una copia di backup.

Successivamente provo a recuperare il backup settimanale e contattare l’ottimo servizio telefonico di 1&1, ma la questione da subito sembra complicata e poco rapida.

Mi dicono:
– devi scegliere la data del ripristino ed il dominio da recuperare che poi ti verrà fornito sulla apposita cartella _ProviderRestore
– poi, via FTP, devi ritrasferire tutto sulla cartella del tuo sito originale eliminando i vecchi file…

Da subito ho capito che usando FTP l’operazione sarebbe stata lunghissima e tediosa: più di mezz’ora c’era voluto solo per cancellare i files della cartella wp_content… pensate quanto ne serviva per cancellare i files dell’intero dominio (uno per uno perché così lavora un sistema FTP).
Poi sarebbe servito ancora più tempo per ritrasferire tutti i files dalla cartella _ProviderRestore alla cartella di riferimento del dominio.

Anche l’operatore, nonostante i miei tentativi di limitare i tempi tecnici, mi ha confermato che questi sono gli unici modi per poter eseguire l’operazione.
Io, che purtroppo, ho una linea non esageratamente prestante, ho fatto presente che i tempi sarebbero stati biblici e ho chiesto se non sarebbero migliorati utilizzando il loro servizio Webspace Explorer, mi ha confermato che non vi era possibilità alcuna di poter abbassare questi tempi di lavorazione e mi dovevo rassegnare a far nottata…

Intanto i siti erano down da oltre due ore con i clienti che fremevano già per il disservizio…

Poi, di colpo mi è venuta una idea clamorosa, faccio alcune prove e tutto sembra poter essere realizzabile.

Considerando che le ultime versioni di FileZilla gestiscono gli spostamenti di intere cartelle in modo molto efficiente e rapido, mi son detto perché non lavorare sul cambio dei nomi delle cartelle invece di dover trasferire il tutto, sarà possibile?

Ora vi indico il metodo, molto semplice, per ovviare all’inutile perdita di tempo e ai possibili errori di trasferimento per ripristinare un sito corrotto in pochi secondi (da 1&1):

– andare sull’area clienti 1&1

– selezionare hosting dalla colonna di sinitra della schermata
– cliccare su Ripristino dati dalla finestra a destra della pagina (due link sotto a Database MySQL)

– nella nuova pagina selezionare la data a cui si vuol ripristinare lo stato dei domini, quindi click su Seleziona

– si aprirà la pagina delle nostre cartelle, quindi selezionare il dominio da ripristinare (la selezione va fatta dalla colonna di destra e non di sinistra)

– quindi cliccare in basso su aggiungi
– dopo pochi secondi troveremo una cartella _ProviderRestore tra le nostre cartelle dei domini e, con  dentro, l’intera cartella del dominio da ripristinare (chiamata con lo stesso nome).

Poniamo, per chiarezza che il dominio si chiami miodominio,  queste sono le operazioni per ripristinare la funzionalità totale del sito in pochi secondi:
– andiamo in FTP
– rinominiamo la cartella: miodominio in: _Bad_miodominio (o altro nome come vogliamo)
– sempre da FTP con FileZilla trasciniamo la cartella (miodominio) appena ricevuta (posta dentro _ProviderRestore) sull’elenco root del nostro spazio (tra le altre cartelle dei siti per intenderci)
– pochi secondi e… finito!

Il dominio è immediatamente pronto e online, come se fosse stato sempre attivo, le funzionalità son tornate ok e abbiamo speso meno di 3 minuti in totale senza alcun trasferimento FTP .

Ora che ci siamo calmati e i battiti son tornati normali, provvederemo a cancellare la cartella _Bad_miodominio con il servizio Webspace Explorer del provider (che è velocissimo) e, volendo, cancelliamo anche la cartella _ProviderRestore che è ormai vuota e inutile.

Sperando di essere stato utile a qualche webmaster, porgo un saluto.