Problema sito dopo attacco

[xfabio]

Chiedo aiuto a qualcuno in grado di farlo... Quest'anno, dopo aver cambiato provider, un sito che avevo realizzato in joomla (sempre l'ultima versione) è stato attaccato da un simpatico turco...
Dopo aver ripristinato l'index.php, ho avuto piu' volte problemi di invio di spam, tanto che il provider mi ha bloccato l'account (senza neanche avvisarmi prima). Ho chiesto tre volte al mio provider di aiutarmi ad individuare il problema, ma non è stato in grado di fornirmi indicazioni utili.
Evidentemente l'hacker (entrato probabilmente a causa di qualche componente non aggioranto, se non per problemi del server) mi ha lasciato qualche malware, ma io non sono in grado di individuarlo.
Come ho detto anche al mio provider, chiedendogli aiuto, io non ho competenze sufficienti a risolvere questo problema (ma credo che neanche loro le abbiano), quindi domando: esiste una sorta di "manuale" per imparare ad individuare ed eliminare ogno traccia di malware?

Grazie a chiunque possa aiutarmi...

xFabio

[mmleoni]

ciao xfabio,
  benvenuto sul forum.

il primo suggerimento è quello di collegarti con un ftp, ordinare la visualizzazione per data dei files e vedere quelli che non sono coerenti con l'installazione, è un poco lunga ma è la strada più sicura.
i files trovati andrebbero poi esaminati o comparati con gli originali.

meglio sarebbe cancellare tutto, tranne immagini/photogallerier, downloads e ricaricare interamente joomla nell'ultima versione (senza la dir install).

leggi attentamente i vari post ed anche:

http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

che è un po' un riassunto delle varie risposte che ho dato.

purtroppo però per questi interventi è richiesta una certa capacità tecnica.

ciao,
marco

 

[mau_develop]

bah.., manuale...in fondo è codice usato male, nulla di extraterrestre.

prendi l'ultima .16

togli la cartella dei templates, la cartella installation, tutto ciò che nn serve, copyright, INSTALL, configuratione htacces.

carica tutto sovrascivendo l'esistente (le cartelle che non verranno aggiornate saranno quelle che hai aggiunto dopo).

Controlla il db di non avere users con permessi di admin.

Controlla uno per uno tutti i componenti che hai aggiunto se hanno avuto avanzamenti.

dopodichè i tuoi problemi finiscono

M.

quoto
-------------------------
meglio sarebbe cancellare tutto, tranne immagini/photogallerier, downloads e ricaricare interamente joomla nell'ultima versione (senza la dir install).
-----------------------------------------------------------

anche se le immagini sarebbe bello dargli un'occhiata per vedere che non siano altre cose camuffate.

[xfabio]

Grazie per i suggerimenti, faro' cosi'. Purtroppo è passato molto tempo e non ho piu' backup precedenti all'attacco.
Ripartiro' da un'installazione nuova per poi caricare i singoli componenti e plugin.
Due ultime domande: dovendo cercare tra i file eventuale codice maligno, cosa devo cercare? (l'unico suggerimento datomi dal precedente provider e' stato "scarica windows grep"...).
La seconda: se una volta reinstallato joomla e i vari componendi ricarico il database completo della versione attuale, rischio di compromettere qualcosa, salvo verificare tutti gli utenti?
Grazie ancora per l'aiuto.

xfabio

[mau_develop]

difficile che il database sia compromesso, se lo fosse, potresti trovare qualcosa nelle tabelle dei contenuti di componenti extra core (quelli che hai installato tu).

se devi cercare del codice maligno basta che cerchi la stringa "eval", solitamente lo infilano negli index e nei default

M.

[mmleoni]

La seconda: se una volta reinstallato joomla e i vari componendi ricarico il database completo della versione attuale, rischio di compromettere qualcosa, salvo verificare tutti gli utenti?

no. dovrebbe essere il sistema più sicuro, se cancelli quello che c'è sul server non corri il rischio di lasciare cavalli di troia.

scaricati prima una copia del sito, in modo tale che se cancelli qualche cosa che non devi (immagini/allegati) ...

con joomla non ci sono problemi, verifica però la compatibilità delle estensioni con il database se ne carichi versioni diverse da quelle originali. al più carica la vecchia, ripristina il db ed effettua l'aggiornamento.

ciao,
marco

[xfabio]

Grazie a tutti del supporto, sara' un lavoro lungo ma spero di risolvere definitivamente...

xFabio