Autore Topic: [RISOLTO] Copy success! (Letto 8020 volte)

maxilbotto · « **il:** 04 Gen 2016, 12:55:09 »

Ciao a tutti

mi è comparsa questa scritta "Copy success!" nella prima riga di ogni pagina del mio sito joomla.

Guardando la sorgente pagina la scritta compare prima del Doctype

se utilizzo la consolle di Chrome la trovo appena dopo il tag body

Qualche suggerimento per eliminarla?

Qualche giorno fa ho trovato il file index.php danneggiato e l'ho sostituito con uno di backup e tutto è tornato a posto.
Non ho notato se la scritta ci fosse già o se è comparsa dopo.

Grazie

alexred · « **Risposta #1 il:** 04 Gen 2016, 13:09:25 »

Ciao maxilbotto,
il 14 dicembre 2015 hai tempestivamente aggiornato il tuo sito alla versione 3.4.6 di Joomla oppure hai atteso qualche giorno?
...oppure la tua versione di Joomla non è ancora aggiornata (attualmente l'ultima versione è la 3.4.8 ) ?

maxilbotto · « **Risposta #2 il:** 04 Gen 2016, 13:12:27 »

Ciao Alex

sono fermo alla 3.4.5

non ho fatto aggiornamenti da quando ho messo on line il sito circa due mesi fa.

alexred · « **Risposta #3 il:** 04 Gen 2016, 13:33:06 »

allora molto probabilmente il tuo sito è stato bucato,
ti consiglio di ripristinare un backup magari anteriore al 10 dicembre ed appena online aggiorna all'ultima versione di Joomla ed aggiorna tutte le estensioni installate.

Prova anche a verificare se trovi sul tuo server questi file via FTP:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php

maxilbotto · « **Risposta #4 il:** 04 Gen 2016, 14:34:11 »

Grazie per l'aiuto

trovati entrambi i file:

il primo in questo percorso:
libraries/joomla/database/exporter.php

e l'altro nello stesso percorso che hai indicato ma si chiama
simplepie.php

alexred · « **Risposta #5 il:** 04 Gen 2016, 15:56:41 »

azz.... allora sei proprio stato vittima di un attacco informatico e ti hanno bucato il sito.
Cancella tutto e ripristina un backup precedente l'attacco.

giampus · « **Risposta #6 il:** 04 Gen 2016, 16:03:49 »

Citazione da: alexred - 04 Gen 2016, 13:33:06

Prova anche a verificare se trovi sul tuo server questi file via FTP:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php

Salve,

il file:
libraries/simplepie/simplepie.php
è originale di joomla.
Invece:
libraries/simplepie/simplepie.lib.php

è quello tarroccato...

alexred · « **Risposta #7 il:** 04 Gen 2016, 16:14:01 »

ti risulta male,
lo puoi verificare anche online nel Github del progetto:
https://github.com/joomla/joomla-cms/tree/master/libraries/joomla
nella cartella libraries/joomla/ c'è un solo file di nome factory.php

giampus · « **Risposta #8 il:** 04 Gen 2016, 16:14:45 »

Citazione da: maxilbotto - 04 Gen 2016, 14:34:11

Grazie per l'aiuto

trovati entrambi i file:

il primo in questo percorso:
libraries/joomla/database/exporter.php

e l'altro nello stesso percorso che hai indicato ma si chiama
simplepie.php

i file:
libraries/joomla/database/exporter.php
libraries/simplepie/simplepie.php
sono originali di joomla (basta andare a vedere nel pacchetto d'installazione). (scusa Alex...avevo letto male la cartella...)
Con winmerge si può fare un confronto e vedere se sono uguali...

Invece:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php

sono quelli tarroccati...

Io ho fatto tutti gli aggiornamenti il giorno stesso della pubblicazione della patch...non mi sembra di essere stato attaccato e non ho mai avuto la scritta "Copy success"...
Speriamo bene!

giampus · « **Risposta #9 il:** 04 Gen 2016, 16:34:31 »

Vedo che sul post
https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj

stanno scrivendo che il file:

libraries/joomla/database/exporter.php

è comunque malevolo...ma allora anche la distribuzione ufficiale di joomla 3.4.8 è infettata?
Io non credo...
Io non posso scrivere su google+ ...forse è meglio che qualcuno rettifichi la notizia?

MariaElenaBoschi · « **Risposta #10 il:** 04 Gen 2016, 16:41:47 »

prima di eseguire aggiornamenti su un sito infetto, procurarsi un pacchetto Joomla della stessa major version e decomprimerlo.
0) mettere il sito "fuori uso" inserendo un index html o nominando un attimo l'index.php in txt
1) eliminare la cartella libraries da remoto e caricare la cartella libraries dal pacchetto nuovo.
2) stessa cosa con tmp e cache.
3) Dovete trovare la shell... se siete fortunati è un file strano nella root (perchè è lì che si copia la prima volta e se non la spostano lì rimane)
4) con phpmyadmin svuotare la tabella sessions e se memorizzate su file eliminatelo
5) rimettere in condizioni di ripartire il sito togliendo ciò che avete fatto per renderlo inutilizzabile.
6) procedere immediatamente con l'aggiornamento.

tomtomeight · « **Risposta #11 il:** 05 Gen 2016, 09:10:07 »

Citazione da: giampus - 04 Gen 2016, 16:34:31

Vedo che sul post
https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj

stanno scrivendo che il file:

libraries/joomla/database/exporter.php

è comunque malevolo...ma allora anche la distribuzione ufficiale di joomla 3.4.8 è infettata?
Io non credo...
Io non posso scrivere su google+ ...forse è meglio che qualcuno rettifichi la notizia?

No attenzione hai fatto confondere anche me, c'è scritto:

su molti di questi siti si verifica la presenza del file libraries/joomla/exporter.php

maxilbotto · « **Risposta #12 il:** 05 Gen 2016, 11:15:18 »

Buongiorno a tutti

ho provato la procedura di MariaElenaBoschi sopra descritta ma il sito non è tornato a funzionare.

Ora (ma anche prima di provarla) non ho accesso al sito e non ho accesso a phpmyadmin. Con un altro tool ho accesso al database.

Penso che dovrò cancellare tutto e ripristinare i backup.

maxilbotto · « **Risposta #13 il:** 05 Gen 2016, 12:20:07 »

Ancora buongiorno

Ho ripetuto la procedura postata qui sopra da mariaelenaboschi e funziona.

Il sito è tornato a funzionare senza altri interventi ed è aggiornato all'ultima versione.

Grazie a tutti per i suggerimenti.

Max

bladefire · « **Risposta #14 il:** 19 Gen 2016, 09:53:43 »

Salve a tutti, anche io ho avuto la fortuna di aver bucato il sito.

Seguirò la procedura che ha descritto Maria Elena.

Però ho ancora dei dubbi su alcuni file che mi ritrovo in più dopo una comparazione tra il sito bucato e quello di buckup.

Elenco i file :

media\overroder\css\ sort-45.php
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
rtbwvcsxrnbsvcd.php (nella root del sito )

Qualcuno gentilmente mi saprebbe dire cosa sono questi file se li posso cancellare dopo o prima l'operazione descritta da Maria ?
Grazie mille anticipatamente spero in un vostro aiuto sto impazzendo.

tomtomeight · « **Risposta #15 il:** 19 Gen 2016, 13:24:37 »

Accodarsi a post risolti non è mai cosa buona o opportuna, ogni situazione non è mai uguale anche perchę uguale problema richiede uguale soluzione. Ad evitare incasinamenti ti chiedo di aprire un tuo post ove descrivi la tua situazione, forse simile ma sicuramente non uguale. Grazie.

bladefire · « **Risposta #16 il:** 19 Gen 2016, 14:35:52 »

Ok scusate non sapevo !!!

MariaElenaBoschi · « **Risposta #17 il:** 19 Gen 2016, 15:51:56 »

media\overroder\css\ sort-45.php
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
rtbwvcsxrnbsvcd.php (nella root del sito )

cosa sono è difficile dirlo senza vederli ma sicuramente non sono di joomla.

Ci sono cartelle che solitamente non vengono toccate dall'installazione di estensioni, una di queste è libraries, per cui conviene cancellare tutta la directory e copiarne una sana da un pacchetto nuovo, quindi
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
verrebbero eliminati e anche quelli che potrebbero esserti sfuggiti

Questo ovviamente lo cancelli, dovrebbe essere la shell.
rtbwvcsxrnbsvcd.php (nella root del sito )

Questo non saprei, se joomla non ce l'ha toglilo, comunque se nn usi postgresql puoi anche eliminare la cartella
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php

Overroder non mi sembra appartenga a joomla.
media\overroder\css\ sort-45.php

bladefire · « **Risposta #18 il:** 21 Gen 2016, 10:35:24 »

Grazie Maria dei tuoi consigli,
sembra tutto funzionare perfettamente, dopo aver fatto tutti i controlli e seguito alla lettera la procedura che hai suggerito.

LucaAP · « **Risposta #19 il:** 06 Feb 2016, 13:27:26 »

Mi lego a questo post solo perchè ho avuto un attacco simile con una versione 3.3 di Joomla.
La mia shell si trovava in /administrator/administrator.php

Vorrei procedere con una pulizia della cartella libraries tuttavia ci sono delle cartelle che sono state create dal framework gantry, dal forum kunena, rokcommon. Premetto quindi che queste cartelle le controllerò file per file con un backup antecedente alla compromissione (backup che non uso solo perchè è di un mese più vecchio e il cliente ha inserito molti contenuti nel periodo natalizio).
Vi vorrei chiedere quindi se i contenuti delle cartelle presenti di default in /libraries vengono modificati dall'installazione dei componenti e plugin...

Vi dico solo che dopo l'avviso di compromissione del sito da parte di GOOGLE, ho eliminato questi file e stringhe di funzioni inserite nei file, ed anche il sitemap.xml inviato dall'Hacker. Google ha tolto la compromissione, tuttavia i link indicizzati (frutto della compromissione) ci sono ancora. Sto procedendo con una rimozione manuale di URL. Secondo me non è ancora del tutto pulito, da qualche parte ci deve essere un file che butta URL a cui il sito doveva dirottare...

Nel frattempo ho aggiornato tutto, e ho cambiato tutte le password.

Grazie dell'aiuto