Autore Topic: [aiuto]sito hackerato (Letto 13802 volte)

bobighorus · « **Risposta #20 il:** 14 Nov 2006, 19:57:31 »

Innanzitutto grazie a tutti per la collaborazione!
Ho fatto un controllo sul ftp; sembra tutto ok; ho provato a uplodare index.php e index2.php; ora vengono visualizzati questi messaggi:
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47

Warning: require_once(/home/blackbloodysabbath.it/components/com_sef/sef.php) [function.require-once]: failed to open stream: Success in /home/blackbloodysabbath.it/index.php on line 47

Fatal error: require_once() [function.require]: Failed opening required '/home/blackbloodysabbath.it/components/com_sef/sef.php' (include_path='.:/usr/share/pear') in /home/blackbloodysabbath.it/index.php on line 47

Il safemode è OFF; come posso fare? Che cosa vuol dire questo?
Nessuna idea di come siano entrati?

Grazie!

napo · « **Risposta #21 il:** 14 Nov 2006, 20:03:02 »

Citazione da: boBigHorus - 14 Nov 2006, 19:57:31

Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47

Sembrerebbe che i tuoi file abbiano cambiato proprietario...

Verifica dal tuo client FTP come sono messi i permessi.

bobighorus · « **Risposta #22 il:** 14 Nov 2006, 20:05:33 »

Citazione da: -napo- - 14 Nov 2006, 20:03:02

Citazione da: boBigHorus - 14 Nov 2006, 19:57:31
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47

Sembrerebbe che i tuoi file abbiano cambiato proprietario...
Verifica dal tuo client FTP come sono messi i permessi.

Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...

napo · « **Risposta #23 il:** 14 Nov 2006, 20:07:53 »

Citazione da: boBigHorus - 14 Nov 2006, 20:05:33

Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...

Come sarebbe a dire che sono TUTTI a 777?

Starai scherzando...

bobighorus · « **Risposta #24 il:** 14 Nov 2006, 20:09:50 »

Citazione da: -napo- - 14 Nov 2006, 20:07:53

Citazione da: boBigHorus - 14 Nov 2006, 20:05:33
Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...

Come sarebbe a dire che sono TUTTI a 777?
Starai scherzando...

Ehm...tutte le cartelle e i file della root hanno lettura,scrittura ed esecuzione per proprietario, gruppo e resto del mondo...

napo · « **Risposta #25 il:** 14 Nov 2006, 20:11:49 »

Citazione da: boBigHorus - 14 Nov 2006, 20:09:50

Ehm...tutte le cartelle e i file della root hanno lettura,scrittura ed esecuzione per proprietario, gruppo e resto del mondo...

Ecco come sono entrati...

bobighorus · « **Risposta #26 il:** 14 Nov 2006, 20:14:06 »

Si ma non li ho messi io

...mah...e cmq supponendo che sono stato io, come hanno fatto ad entrare? e cosa posso fare per far funzionare il tutto

Devo riuplodare tutto il sito?non credo, dato che il backend funziona e vorrei evitare di perdere tutto quello che ho fatto...

surfbit · « **Risposta #27 il:** 14 Nov 2006, 20:14:47 »

Infatti avevo chiesto i permessi per capire!!! Ma avevi ma controllato i permessi prima? Se erano set giusti vuol dire che le hanno cambiati!!

bobighorus · « **Risposta #28 il:** 14 Nov 2006, 20:16:58 »

Citazione da: surfbit - 14 Nov 2006, 20:14:47

Infatti avevo chiesto i permessi per capire!!! Ma avevi ma controllato i permessi prima? Se erano set giusti vuol dire che le hanno cambiati!!

Si infatti, io li avevo settati giusti... $:-\$ ma cosa posso fare ora? il provider mi ha scritto che il database non è stato toccato ma solo le index...ma ho provato a riuplodare index.php ma escono quegli errori...

bobighorus · « **Risposta #29 il:** 14 Nov 2006, 20:30:29 »

Altro aggiornamento...ho dato un'occhiata e ho scoperto che sembrano essere passati dal componente OpenSef e GoogleSiteMapGenerator e si spiegherebbero così molte cose riguardo alle url compromesse ed ai permessi.
Ho cercato di disinstallare i due componenti incriminati ma niente; non ho i permessi sulle relativa cartelle.
Il provider mi ha scritto che safe_mod è ad on...
Si accettano idee per come fare a risolvere...

Grazie.

luca · « **Risposta #30 il:** 14 Nov 2006, 20:38:12 »

Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.

Bettinz · « **Risposta #31 il:** 14 Nov 2006, 20:41:30 »

si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni

http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html

surfbit · « **Risposta #32 il:** 14 Nov 2006, 20:45:32 »

Citazione da: Bettinz - 14 Nov 2006, 20:41:30

si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html

Complimenti Bettinz

Bettinz · « **Risposta #33 il:** 14 Nov 2006, 20:56:54 »

grazie surf

bobighorus · « **Risposta #34 il:** 14 Nov 2006, 22:07:36 »

Citazione da: luca - 14 Nov 2006, 20:38:12

Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.

ok, ci provo. Ma devo reinstallare tutto? E cmq nessuno ha idea di come siano entrati?
Ho il forte sospetto, come ho scritto, che siano passati da OpenSef ma il mio dubbio è: come

dato che lo avevo si installato ma era disabilitato!!!

bobighorus · « **Risposta #35 il:** 14 Nov 2006, 22:13:58 »

Ulteriore aggiornamento: ho scoperto che è stato hackerato anche il forum in SMF!!! nonostante avesse un database a sè stante, diverso da quello di Joomla!!!!

cos · « **Risposta #36 il:** 15 Nov 2006, 07:10:28 »

Citazione da: Bettinz - 14 Nov 2006, 20:41:30

si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html

ci voleva .... bene

grazie

surfbit · « **Risposta #37 il:** 15 Nov 2006, 08:56:25 »

Citazione da: boBigHorus - 14 Nov 2006, 22:07:36

Citazione da: luca - 14 Nov 2006, 20:38:12
Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.
ok, ci provo. Ma devo reinstallare tutto? E cmq nessuno ha idea di come siano entrati?
Ho il forte sospetto, come ho scritto, che siano passati da OpenSef ma il mio dubbio è: come dato che lo avevo si installato ma era disabilitato!!!

Se il provider ti ha scritto che il database non è stato toccato ma solo le index vuol dire che da lì sono partiti!! Se poi erano impostati male i permessi saranno riusciti a spulciare il resto!! Consiglio!! Installa tutto ex novo con user e pass diverse!!

dario · « **Risposta #38 il:** 15 Nov 2006, 10:37:30 »

Citazione da: boBigHorus - 14 Nov 2006, 19:57:31

Ho fatto un controllo sul ftp; sembra tutto ok; ho provato a uplodare index.php e index2.php; ora vengono visualizzati questi messaggi:
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47

Warning: require_once(/home/blackbloodysabbath.it/components/com_sef/sef.php) [function.require-once]: failed to open stream: Success in /home/blackbloodysabbath.it/index.php on line 47

Fatal error: require_once() [function.require]: Failed opening required '/home/blackbloodysabbath.it/components/com_sef/sef.php' (include_path='.:/usr/share/pear') in /home/blackbloodysabbath.it/index.php on line 47

Il safemode è OFF; come posso fare? Che cosa vuol dire questo?
Nessuna idea di come siano entrati?
Grazie!

Senti ma percaso avevi aggiunto del codice al template per quanto riguarda qualche modulo di openSef???

Hai provato a disinstallare questo componente?
Eventualmente esporta il db mysql del forum su un file... nn si sa mai...

Xè cmq pare che gli unici errori ke ti ritorna il server sono legagti a questo componente...
Oppure prova a disabilitare eventuali moduli di openSef...

Ci sarebbe anche un tentativo... come dire... 'Stronz*'
Io ho avuto successo una volta....

Scarica un upgrade ad esempio dalla 1.0.8 alla 1.0.11 decomprili in locale e schiaffi il tutto via ftp....

Questo sarebbe il tentativo ultimo, prima di riuploadre l'intero Joomla! ... cmq fatti qualche backup del db...

Ma hai provato a chiedere al provider di ripristinarti l'ultimo backup del server al giorno prima dell'attacco???

thuridilla · « **Risposta #39 il:** 15 Nov 2006, 14:39:34 »

Citazione da: Andrea - 14 Nov 2006, 16:18:27

forse si, provare non nuoce.
Avevi anche JCE?

C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html

Non è proprio strettamente relativo a questo topic, ma io ho JCE 1.0.4. la patch la ho applicata alla fine di agosto, credo sia quella, non penso ci siano state altre patch successive, almeno non ne vedo sul sito di JCE.