sito attaccato

[nio84]

Ciao a tutti,
ho davvero urgente bisogno di aiuto.
Ho notato che il mio sito è stato attaccato ogni pagina ha un redirect e con internet explorer segnala un attacco trojan, insomma per chi entra non è un bel vedere rischio di perdere utenti, non riesco ad entrare nel pannello di gestione di joomla del mio sito(amministrazione), quindi non posso metterlo offline.
Poi non riesco ad entrare nel database mysql all'indirizzo anche qui c'è stato un attacco, ma riesco a visuallizzare i file del sito in ftp, con filezilla.
Cosa mi consigliate di fare?
Aiutooo!! Aspetto una risposta il più presto possibile.
Grazie

[mau_develop]

http://forum.joomla.it/index.php/topic,117151.0.html

M.

[tomtomeight]

Ciao
Visto che accedi da FTP il primo consiglio per metterlo offline è quello di scaricarti il file configuration.php ed editarlo mettendo il valore 1 a siteoffline, poi il passo successivo sarà quello di ripristinare il tutto da un precedente backup che spero tu abbia regolarmente effettuato, come dai molti consigli del forum.

[nio84]

Ciao
Visto che accedi da FTP il primo consiglio per metterlo offline è quello di scaricarti il file configuration.php ed editarlo mettendo il valore 1 a siteoffline, poi il passo successivo sarà quello di ripristinare il tutto da un precedente backup che spero tu abbia regolarmente effettuato, come dai molti consigli del forum.

ok ora lo faccio,
ho anche notato adesso che i file
index.php
.htaccess
error_log
sono stati modificati oggi, anche se io non ho effettuato nessun lavoro sul sito.
pensate che possa trovare dove hanno effettuato l'attacco, mi sarebbe utile perchè l'ultimo backup l'ho fatto il 24 novembre, e in questi giorni ci ho lavorato un po...
Cosa ne pensate?

[nio84]

scusate un altra cosa, ora provando a trasferire il file configuration.php, non me lo fa fare, mi dice permessi negati. Ho guardato i permessi del file e sono su "444" solo lettura, per caso devo modificarli?

[tomtomeight]

Scusa ma l'aiuto step by step è controproducente, non puoi immaginare che qualcuno ti dica passo passo cosa fare, quì ottieni indicazioni valide per tentare di risolvere ma devi avere anche una tua iniziativa nel comprendere ed agire, se dici che quel file ha i permessi di sola lettura e tu devi invece modificarlo, và da se che bisogna modificarne i permessi, non ci vuole un genio per capirlo e nemmeno scomodare qualcuno per risponderti.

[nio84]

Scusa ma l'aiuto step by step è controproducente, non puoi immaginare che qualcuno ti dica passo passo cosa fare, quì ottieni indicazioni valide per tentare di risolvere ma devi avere anche una tua iniziativa nel comprendere ed agire, se dici che quel file ha i permessi di sola lettura e tu devi invece modificarlo, và da se che bisogna modificarne i permessi, non ci vuole un genio per capirlo e nemmeno scomodare qualcuno per risponderti.

Scusami hai ragione, ma il momento è "grigio" perchè, questo mi succede in un momento fondamentale per il mio sito.
Comunque grazie per la vostra gentilezza.

[tomtomeight]

Non ti scoraggiare ed agisci, vedi quei file che hai citato e verifica se contengono codice extra magari confrontandoli con quelli originali presi da una installazione vergine. Ma se hai un backup fai prima a ripristinare ed anche se perdi del lavoro hai la certezza di un sito pulito, poi verifica gli aggiornamenti di tutti i componenti e versione di joomal per stare tranquillo che non risucceda che ti trovi ancora col sito attaccato.

[nio84]

Grazie davvero per la vostra gentilezza.
Allora dopo che ho editato il file configuration.php non ho ottenuto niente, continuavo ad avere un redirect, allora cosa ho provato a fare, visto che dovrò sicuramente rispristinare da un backup, ho preso la index e il file htacess dal backup e lo messo dentro.
Il risultato non sarà dei migliori ma ora ho il sito con scirtto "offline per manutenzione" è già qualcosa.

Ora posso entrare nell'amministrazione e nel database mysql.

Posso provare a trovare una soluzione? Oppure ripristinare rimane sempre la soluzione migliore?
Grazie

[tomtomeight]

Se il tuo backup è anteriore all'attacco, il ripristino rimane il modo migliore, perchè non puoi sapere dove  e quali file sono stati modificati.

[nio84]

Ok, grazie.
Ma quando vado ad effettuare il rispristino, devo anche ripristinare le cartelle "admin" e "cgi-bin" che se non sbaglio fanno parte del phpmyadmin, oppure queste cartelle no, e basta solo ripristinare il database?

[mau_develop]

...quindi il post in testa a qs sezione è inutile?

M.

[nio84]

...quindi il post in testa a qs sezione è inutile?

M.

No è utilissimo, ma, dopo che ieri ho messo il sito offline, stamattina l'ho trovato di nuovo con lo stesso problema, quindi ho deciso di cancellare tutto e ripristinare, dovrò rifare alcuni articoli, ma va bene cosi.
Non ci sono altri utenti che creano articoli nel mio sito, quindi conosco quello che ho fatto in questi 15 giorni e posso rifarlo.
Il tuo post mi sarà molto di aiuto per migliorare la mia sicurezza, anche se io già aggiorno immediatamente ogni volta joomla, però ho notato che lascio molte cose senza controllo e non va bene.
Ringrazio a tutte le persone come che, che scrivono e aiutano i meno capaci (come me) a migliorarsi. Grazie.
Comunque scriverò qui se tutto è andato a buon fine...

[mau_develop]

No è utilissimo, ma, dopo che ieri ho messo il sito offline, stamattina l'ho trovato di nuovo con lo stesso problema, quindi ho deciso di cancellare tutto e ripristinare, dovrò rifare alcuni articoli, ma va bene cosi.
---------------------------------------------------------
mmmhh mi sa che l'hai letto un po' superficialmente non ho ancora sentito parlare di antivirus..

M.

[nio84]

mmmhh mi sa che l'hai letto un po' superficialmente non ho ancora sentito parlare di antivirus..

M.

Cioè? non ho capito a cosa ti riferisci?
L'opzione che tu hai esposto è perfetta, ma sicuramente ci vuole più tempo rispetto a ripristinare tutto,
e per me al momento è importante essere on line

[mau_develop]

L'opzione che tu hai esposto è perfetta,
-----------------------------------------------------
?? quale opzione? ci sono varie cose da fare a seconda di cosa è successo...

ma sicuramente ci vuole più tempo rispetto a ripristinare tutto
-----------------------------------------------------
certo ma ripristinando tutto potresti non risolvere nulla e così moltiplichi il tempo invece di risparmiarlo

e per me al momento è importante essere on line
-------------------------------------------------------------------
per questo esistono solo i backup.

M.

[nio84]

Comunque sono dell'idea che tutte le discussioni aiutino a migliorarsi e a migliorare l'argomentazione del forum.
Quindi volevo chiedervi una cosa, ho appena finito di ripristinare i file in ftp, ma ancora non ho toccato il database sql, volevo sapere, ora il sito sembra ok già cosi, visualizzo le pagine e l'amministrazione, e gli articoli recenti effettuati dopo il backup sono li, non sono andati via.
Volevo chiedere a voi se posso stare tranquillo cosi, senza toccare il database? O per sicurezza è meglio cancellare e poi rispristinare anche il database?

aggiungo: ora cercando di mettere in sicurezza il sito, forse ho scopero dove avevo un bug, in Joomfish, che non era aggiornata.

Comunque spero possiate dirmi se il sito cosi è può essere sicuro, o meglio ripristinare il database, grazie.