Attacco hacker! Come fare per ripristinare il tutto?

[spaino]

ciao a tutti
purtroppo ho appena scoperto che il mio sito è stato attaccato da hacker (www.antizanzare.net)
come posso riportare il tutto alla normalità?

[spaino]

mi spiego meglio, c'era solo il file index.php hackerato, facendo il backup settimana mi è bastato sostituire il nuovo file con quello vecchio e stop.
Ma come faccio a capire fino a che livello è stato hackerizzato? cioè quali file devo controllare oltre all'index?

[bigham]

Ciao spaino.

Non basta sostituire un solo file, probabilmente sono molti di più quelli compromessi e molto dipende dal tipo di attacco che è stato portato.
Anzitutto cambia la password di accesso via ftp al sito.

La cosa migliore sarebbe quella di eliminare l'intero sito e ricostruirlo partendo da un pacchetto joomla pulito. Purtroppo sostituire i file già presenti sul sito non ti mette al sicuro perchè potrebbero esserci dei file non-joomla da qualche parte e tu potresti non accorgerti della loro presenza (non puoi spulciare tutte le cartelle una ad una).

Ripristinare con un backup settimanale, soprattutto se il backup è nello stesso spazio web, non è una buona idea. L'attacco potrebbe essere iniziato qualche settimana fa e quindi anche il backup potrebbe essere compromesso.

Ma la cosa più importante sarebbe cercare di capire come sia avvenuto l'attacco, Nella maggior parte dei casi il motivo è da ricercarsi o nel codice joomla che tu non hai aggiornato o in qualche estensione (modulo, componente, plugin) che era bacato di suo.
In quest'ultimo caso devi controllare tutte le estensioni che hai installato e verificare se ne esistono di più aggiornate o se sono presenti  in questa lista.

[spaino]

ti ringrazio molto per i consigli
tuttavia non posso permettermi di rifare il sito da zero proprio in questo periodo in cui ho il picco di vendite (si tratta di un sito che vende prodotti antizanzare)
ad ogni modo mi pare che sia stata toccata solo la home, le altre pagine non presentano problemi (almeno, quelle che ho visitato fin'ora)

[gippy88]

io ho trovato un ottimo modo per ripulire tutto senza compromettere nulla e con lamassima velocità.

ti scarichi il sito in locale, se lo fai tipo con joomlapack o con akeeba.
 
dopo di che la prima cosa che devi fare e trovare le script malevoli, apri i i file, spesso negli index trovi qualc o nella cartella images e tmp. se te ne capitano parecchi di questi attacchi riuscirai a farti un bel file con tutti gli script malevoli.

ad esempio mettiamo che gli script siano cosi "script:ciaociao"

lanci da terminale il comando grep script:ciaociao * -rin
e ti dira dove sta quel file in tutte le cartelle del tuo sito
ora potrai pulire tutto e ricaricare online

ovviamente se questo accade e perche non hai seguito le best practice.

buon lavoro

[mau_develop]

... nn prenderlo come un'attacco, però leggendo nn posso fare a meno di osservare:

io ho trovato un ottimo modo per ripulire tutto senza compromettere nulla e con lamassima velocità.
---------------------------------------------------------------------------------------------------------------------------------------
se la massima velocità corrisponde alla minima efficenza non è conveniente mai

ti scarichi il sito in locale, se lo fai tipo con joomlapack o con akeeba.
---------------------------------------------------------------------------------------------
esiste il semplice filezilla

dopo di che la prima cosa che devi fare e trovare le script malevoli, apri i i file
--------------------------------------------------------------------------------------------------------
2800 files???!!  ... nn fai prima a sostituirli con quelli puliti di un nuovo pacchetto senza preoccuparti di cercare nulla?

, spesso negli index trovi qualc o nella cartella images e tmp. se te ne capitano parecchi di questi attacchi riuscirai a farti un bel file con tutti gli script malevoli.
----------------------------------------------------------------------------------------
... raccogliere piombo facendosi sparare addosso non la ritengo un'idea grandiosa

ad esempio mettiamo che gli script siano cosi "script:ciaociao"
lanci da terminale il comando grep script:ciaociao * -rin
e ti dira dove sta quel file in tutte le cartelle del tuo sito
ora potrai pulire tutto e ricaricare online
--------------------------------------------------------------------------------------------------------
certo, se l'ha scritto braccobaldo trovi quella stringa, altrimenti nel più facile dei casi trovi un bell'eval()   ...ma basterebbe anche semplice codice php che non troveresti mai con nulla, se non analizzando il processo.
Anche se tu facessi un grep di <script non troveresti nulla di <+script , <s+c+r+i+p+t ,  base64_decode(xxxxx) etc etc

ovviamente se questo accade e perche non hai seguito le best practice.
--------------------------------------------------------------------------------------------------
cioè?

M.

[MarkOne]

... raccogliere piombo facendosi sparare addosso non la ritengo un'idea grandiosa

mau_develop, posso fare la raccolta delle  tue parafrasi?
ne ho notate delle fantastiche! e potrebbe saltare fuori un bell'articolo per il sito!

[paloo]

La cosa migliore sarebbe quella di eliminare l'intero sito e ricostruirlo partendo da un pacchetto joomla pulito.

Ciao,
mi ricordo che avevo modificato il template per problemi di spazio, in questo caso devo andare a recuperare tutte le modifiche fatte?
Per recuperare il contenuto del sito devo ripristinare il database e qualcosaltro?

Grazie.

[bigham]

Ciao
Per recuperare il template puoi farlo solo se ne hai una copia conservata in qualche backup. Altrimenti dovresti controllare che in quello che hai adesso non vi sia codice strano.
Il database è il cuore del sito. Potrebbe non essere stato contaminato dall'attacco ma è sempre meglio usare una copia più vecchia. Sempre che non si perdano troppe informazioni. Allora forse io rischierei.

[paloo]

grazie bigham, posso sempre provare col database abbastanza recente, cambiando tutte le password possibili.