Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520

[mau_develop]

infatti non bisognerebbe reinstallare, se sei / siete arrivati a qs punto è perchè:

- Joomla o le extensions non aggiornate o comunque cose installate insicure.
- backup frequenti non fatti
- inutili backup incrementali automatici lasciati sul server
- scansioni antivirus approfondite (avvio provvisorio con rete staccata) probabilmente tralasciate o vi fidate del fatto di avere un av installato..... un buon antivirus individua e blocca il 20% dei virus in circolazione....

ovvio che quando poi capita sono casini, non è certo una paternale, qs infezione me la sono presa anch'io e non è stato per nulla facile riuscire ad uscirne e ho preferito reinstallare anche se mi è costato due buoni gg di lavoro.

M.

[makjla]

Avevo la .20 già da prima dell'attacco. Uno è il mio sito web personale e quindi è costantemente aggiornato. Non ho aggiornato in seguito all'attacco. Cmq si , devo chiedere anche informazioni all'host. Vi farò sapere.

[mau_develop]

...su agape hai un problema

M.

[makjla]

quale problema?

[mau_develop]

Parse error: syntax error, unexpected '<' in /home/agapeweb/public_html/index.php on line 88

se è tuo... ma credo di si...
quando hai detto "..Uno è il mio sito web personale ..." mi è scattata la curiosità e sono andato in giro a curiosare ... offesa? ...fatto nulla di male,... poi magari nn è nemmeno tuo 

M.

[makjla]

E' mio, ma è un sito web di prova che uso per fare i test. Anche lì c'è la versione 1.5.20.... quindi cosa dovrei fare per metterli in sicurezza? qualcuno ha dei consigli pratici?

[taolo]

quando hai detto "..Uno è il mio sito web personale ..." mi è scattata la curiosità e sono andato in giro a curiosare ... offesa? ...fatto nulla di male,... poi magari nn è nemmeno tuo 

M.

  Che dolce questo mod.... 

[mau_develop]

emh emh ... grazie per il mod... diciamo mascotte 

Che dolce questo mod.... 
----------------------------------
magari... a volte penso sia una malattia... quando mi parte l'embolo... compulsivo-maniacal-curioso... ero uno di quei maledetti bimbi che nessun genitore si agura, ogni cosa mi durava il tempo di trovare un cacciavite

M.

EDITO QUI

qualcuno ha dei consigli pratici?
----------------------------------------------

Dipende da un po' di considerazioni, ove semplice reinstallare dopo aver pulito tutto il remoto e portato in locale il sito bucato, senza aprirlo su un server (xamp).
poi piano piano spulci il template e lo rimetti. e così per i contenuti, solo quelli che sei convinta siano tuoi.

Se il sito è molto pieno bisogna individuare dove può essere il problema, dove possono essere state inserite delle shell, solitamente in cartelle contenenti file uppabili o nella cache o nel tmp.

comunque sia qs tipi di attacchi hanno correlazione con social network twitter facebook etc e molto spesso sono trojan che affliggono il browser e/o filezilla

M.

ps io sono abbastanza convinto che siete voi stessi complici involontari del problema per quello fatto un sito son fatti tutti... anche su diversi hosting... e linux non è proprio "esente" da questa vuln.

[joored]

Makjla,
bonificare i file index.php e index.html non basta ...
Il problema, a quanto pare, dipende da un trojan che si è installato sul computer ... per cui occorre:

1) PRIORITARIAMENTE, prima di ogni altra operazione, fare una scansione accurata (in modalità provvisoria) del proprio computer (io ne ho trovato uno che aveva attinenza con l'attacco);

2) cambiare user+pass dell'accesso ivi inclusi quelli ftp e del database

3) cambiare user+pass del super amministratore

4) scaricare sul proprio computer, in un'apposita cartella, tutto il sito attaccato

5) Passare la cartella con l'antivirus accuratamente

5) munirsi di un programma di Search & Replace (ce ne sono gratuiti)

6) cercare con il programma di Search & Replace le stringhe di codice maligno e cancellarle o sostituirle con il codice opportuno (io ho cercato con queste parole chiave: sytratesthj e 12rret, ma potrebbero essere altre, dipende dall'attacco)

7) cancellare via ftp sul server tutte le cartelle e files

- trasferire via ftp sul server le cartelle ed i files bonificati

9) aggiornare joomla all'ultima versione 1520 (se trattasi di versione precedente) e aggiornare tutti i componenti,plugin e moduli

10) incrociare le dita!

[jeckodevelopment]

11) installare il plugin di mmleoni e attivarlo... per una maggiore (relativamente) tranquillità.

[filipposs]

Scusate, dove si trova il plugin di mmleoni?

Ciao

[makjla]

@filipposs ecco il thread in cui c'è il link per scaricare il plugin http://forum.joomla.it/index.php/topic,105058.msg464403.html#msg464403

grazie per le dritte. Ripetere questa operazione su 6 siti web sarà davvero dura ma ci proverò. Spero che serva a qualcosa almeno. Grazie

[rossosat]

Non so se è una coincidenza, ma tutti i miei siti con errore
" Parse error: syntax error, unexpected '<' in /web/htdocs/ " sono tutti hostati su Aru*a
E io li ho tutti aggiornati alla 1.5.20, siamo tutti nella stessa barca.. e aggiornare non è servito in quanto hanno reinserito il codice maligno nella index sia backend che frontend  dopo sole 24 ore.
Speriamo bene..

[ariess]

e aggiornare non è servito in quanto hanno reinserito il codice maligno nella index sia backend che frontend  dopo sole 24 ore.

ti sei letto tutto il topic?

[rossosat]

ti sei letto tutto il topic?

No, non l'ho fatto e chiedo scusa per questo, ero stanco morto ieri sera..ma ora lo rileggo con attenzione.

[alexred]

Ciao ragazzi
uno dei miei siti su ******** è stato attacato, un paio di giorni fa.

Se sei stato così intelligente, arguto e furbo da evitare la censura del forum spero tu possa essere tanto intelligente da sapere che su questo forum non sono ammessi riferimenti a prodotti e servizi commerciali all'interno dei post. Non deluderci oltre, modifica quanto hai scritto ed evita in futuro di prendere in giro gli amministratori di questo forum (che sono dei volontari) e tutti gli utilizzatori ed infine te stesso. Grazie per l'aiuto