Sito bloccato dal provider

[cardo]

Salve ieri il provider mi ha bloccato il sito dicendomi che era sotto attacco: "vengono richiamate dall'esterno file in php e passate variabili per fare redirect", senza darmi altre spiegazioni, oggi e domani sarà difficile averle.
Mi ha zippato il sito, che ho scaricato, invitandomi a fare l'upload.
Ho la versione  1.5.20 con tutti i componenti aggiornati.

Domanda c'è modo di sapere se ci sono dei file particolari attaccati?
Se attivo le indicazioni consigliate nell'articolo sulla sicurezza  e ripubblico il sito, il problema può rimanere?
grazie

[ilvanni]

IMHO perchè non gli chiedi di essere più chiari nel dettaglio? Dovrebbero essere più precisi e darti più informazioni, tipo quali file vengono richiamati e da dove, su dove viene effettuato il redirect, etc., per capire anche meglio.

[cardo]

Infatti gli ho chiesto i log, spero che lunedì me li diano, solo per farmi dare quella risposta ho dovuto mettere 2 topic, si erano limitati a dirmi: scarichi il file zippato e aggiorni il csm.

[mau_develop]

Ho la versione  1.5.20 con tutti i componenti aggiornati.
----------------------------------------------------------------------------
sicuro?

M.

[cardo]

La versione è la 1 5 20 mi sembrava di aver aggiornato tutto, ultimamente mi sono fatto fare un componente per una mia esigenza particolare, che possa essere quello?
Mi conviene mettere anche un componente di protezione?

[ilvanni]

Attenzione, con mau_develop non si deve mai usare il "...mi sembrava...".   
Controlla prima di tutto di aver sì aggiornato la ver. di joomla e poi parli di un'estensione fatta fare "ad hoc"; che estensione? Come è stata fatta? Sicuro del codice e di chi l'ha scritta? Soprattutto, essendo scritta presumo "ex novo", è stata sottoposta a test?

Terreno di guerra per mau questo, scusa se mi sono intromesso, lascio la palla a te che sulla sicurezza e sviluppo sei più competente di me, ciao mau! 

[cardo]

la versione di joomla è assolutamente la 1 5 20, ho aggiornato joomgallery, docman, e altri componenti.
Il componente me lo ha fatto una ditta che ho trovato sul vostro sito.

L'ho installato in locale, ma non mi funziona tutto, prima di ripubblicarlo volevo sapere dove andare a guardare, spero che me lo dicano.

[mau_develop]

mmhhh non voglio intromettermi ne giudicare (nemmeno vedere) il lavoro di altri.
Anche perchè potrebbero esserci corresponsabilità del server etc...

Tieni anche conto che quasi tutti gli hosting con php
PHP 5.2 <= 5.2.13 e PHP 5.3 <= 5.3.2
sono vulnerabili e joomla nn centra nulla (il mio probabilmente compreso .. nn ho ancora controllato  )
... c'è stato il MOPS e molti non se ne sono accorti
...comunque sia credo abbastanza improbabile qs cosa almeno per quanto ti riguarda

il tuo problema è che ccomunque qualcosa hanno iniettato e non è sempre semplice trovarlo e trovare tutto.

La cosa migliore è reinstallare tutto daccapo dopo aver cambiato tutte le password dei vari servizi e poi piano piano controllare tutti i contenuti e riuploadarli. ... è lunga lo so... ma non si dovrebbe arrivare a qs punti... il sito va mantenuto e i contenuti backuppati periodicamente (settimanale) e non incrementali e non lasciandoli sul server.

Un tool che ti può aiutare è quello di mmleoni.

M.

[cardo]

Ho un backup di trenta giorni fa, riproverò con quello, immagino che possa essere pulito.

[mau_develop]

appena lo carichi prova con lo strumento di google webmaster per rilevare malware

M.