Autore Topic: [Risolto] Siti hackerati (Letto 13627 volte)

parsac01 · « **il:** 08 Gen 2011, 12:22:47 »

Ciao a tutti, avrei un problema... anzi due.
Due perché sono due i siti che da questa mattina sono irraggiungibili (relativi ad un unico utente dell'hoster)
Digitando l'indirizzo mi esce un errore relativo ad una riga di index.php. La cosa mi era già successa un po' di tempo fa ma solo ad uno dei due siti, non ad entrambi. Comunque ho provveduto ad avvisare l'hoster e a pulire i file (index.php, sia quello front-end che quello di admin). Nelle due precedenti volte questa modifica mi ha risolto il problema solo che questa volta mi ha trovato altri errori in una pagina di un componente (phoca guestbook). Provato a pulire anche questo codice ora il sito si apre ma le pagine (tranne la home) escono letteralmente vuote (appare solo il menu verticale di sinistra).
Di uno dei due siti ho un backup completo fatto con akeeba circa un mesetto fa ma se fosse possibile vorrei evitare di ritornare così indietro.
Ho letto la guida di mau_develop (mi sembra fosse sua), ho fatto scansioni complete sul pc e, come detto, aperto un ticket all'assistenza dalla quale aspetto risposta ed istruzioni.
Secondo voi ci sono possibilità di ripristinare tutto? Grazie.

mau_develop · « **Risposta #1 il:** 08 Gen 2011, 12:28:32 »

escludendo ciò che può fare l'hoster perchè non posso prevederlo, direi che se hai letto (bene) la mia guida dovresti riuscire più o meno a capire in che situazione ti trovi, cioè se c'è una probabilità che il db non sia nemmeno stato attaccato.

Per i files direi che tutto dipende dalle tue conoscenze e dalla tua voglia di spulciarti i contenuti uno ad uno.

M.

parsac01 · « **Risposta #2 il:** 08 Gen 2011, 12:39:24 »

Grazie della risposta mau_develop... Si ho letto la tua guida ed infatti sto salvando i file sul pc come descritto. Sono due siti piuttosto piccoli e non ci sarebbero problemi a spulciare i contenuti... il problema è che non so come e dove spulciare questi contenuti.

mau_develop · « **Risposta #3 il:** 08 Gen 2011, 13:20:06 »

...per quello che dicevo che molto dipende anche dall'esperienza.

In linea generale si dovrebbe cercare di ricostruire l'obbiettivo che aveva e come l'ha raggiunto.
Avrai avuto qualche componente vulnerabile o versione di joomla datata.... bisogna capire che vuln ha sfruttato se addirittura non è passato dal server, facendo tutto con qualche tool, e se il tool era specializzato per J o meno

Tutte queste info ti aiutano a capire dove è andato a smanacciare e a ripristinare.

La cosa migliore nel tuo caso è separare i files Joomla dai contenuti tuoi, quelli di joomla li sostituisci con una nuova installazione comprensiva dei componenti attualmente installati ma aggiornati e i tuoi li spulci in cerca di roba strana.
Prova a dare per scontato che il db sia integro....

M.

gagarin77 · « **Risposta #4 il:** 08 Gen 2011, 14:57:14 »

ciao,
Come consigli, potresti utilizzare dei software di confronto tra file (per win esiste il gratuito win merge)
Che permettono il confrotto tra file e cartelle.
Al limite puoi scaricati la versione "originale" di joomla corrispondente a quella del tuo sito e provi a fare un confronto.

poi singolarmente puoi controllare anche i moduli/componenti aggiunti
ideale sarebbe farlo con una copia di backup "sicura" del tuo sito che conteneva anche i moduli/componenti di terze parti
cosi il confronto era immediato di tutti i file presenti "online",

Naturalmente questo se desideri fare un controllo di quello che è successo...

parsac01 · « **Risposta #5 il:** 08 Gen 2011, 14:59:00 »

Il componente col bug credo di averlo individuato (il guestbook). Era aggiornato alla penultima versione ed evidentemente è quello l'anello debole. Dubito che si sia trattato di un attacco a forza bruta (la pass l'ho cambiata di recente).
Vorrei sapere un'ultima cosa mau_develop e gagarin77. Io sono ora in questa situazione:
Il sito è raggiungibile dal back-end. Vedo gli articoli, i componenti, i moduli, faccio modifiche. Se vado a fare però l'anteprima o apro il sito dal front-end vedo solo il template ed il menu di sinistra. Tutti gli articoli non compaiono, nessuna traccia. Facendo Ispeziona elemento per vedere il codice della pagina vedo solo qualche stringa e un link (immagine in allegato).
Secondo voi, è un problema di database? Ho scaricato il sito e controllato con diversi antivirus e tutto è negativo.
Attendo comunque risposte dall'assistenza dell'hoster. Grazie.

[allegato eliminato da un amministratore]

mau_develop · « **Risposta #6 il:** 08 Gen 2011, 15:15:30 »

che è quello script che chiama?

perchè non sostituisci una nuova installazione di joomla collegandogli il vecchio db come ti ho suggerito?

poi piano piano allinei tutto.

M.

parsac01 · « **Risposta #7 il:** 08 Gen 2011, 15:21:09 »

Ok, pulisco tutto, reinstallo joomla, i componenti che c'erano prima (aggiornati) e poi collego il database, sperando che sia intatto. Vi faccio sapere, grazie!

mau_develop · « **Risposta #8 il:** 08 Gen 2011, 17:42:28 »

aspetta però ad inserire i tuoi files nelle varie directory, prima guarda se ti appartengono e se sono stati modificati.

Se il guestbook ha una tabella da cui prende i messaggi può darsi che siano riusciti ad inserire codice in quella tabella, presta attenzione ai messaggi inseriti se contengono cose strane..

cerca di fare tutto in locale, backuppando gli step che hanno successo. Quando funziona tutto, pialli il remoto (db e files) e riuppi tutto

M.

parsac01 · « **Risposta #9 il:** 09 Gen 2011, 08:54:31 »

Allora, ho scoperto che tutti gli index.html e index.php di ogni cartella sono stati sovrascritti da un index.html (index.php) di dimensione 1.913 byte e contenente il codice visionabile dall'immagine in allegato.
Ora, come consigliato, sto installando le varie estensioni che erano installate. I messaggi del guestbook vengono salvati in una tabella e sono tutti puliti.
Quindi poi dovrò riallineare il vecchio sito al nuovo facendo attenzione a questi index modificati. Speriamo bene.

[allegato eliminato da un amministratore]

parsac01 · « **Risposta #10 il:** 09 Gen 2011, 09:22:42 »

Allora, ora sono in questa situazione:
- pulito completamente lo spazio web (avendo avuta cura in precedenza di salvare tramite filezilla tutto il sito in locale)
- eseguita nuova installazione joomla
- controllato database (sembra pulito)
- installate alcune delle precedenti estensioni (molte non erano usate)
Quindi ora dovrei riallineare il vecchio sito.
Apro filezilla e mi ritrovo il locale e il remoto. Perciò ho le cartelle "administrator", "cache", "components", ecc.... Devo quindi prendere quelle locali e copiarle con attenzione nel remoto? Non capisco come riallineare gli id delle sezioni/categorie. Grazie ancora.

Integrazione: Quando ho provveduto a reinstallare joomla, nella parte relativa al database, ho inserito un database vuoto, installando i dati di esempio. Quindi ora aprendo il sito mi ritrovo un sito con le faq di joomla e cose varie.
Con phpmyadmin vado nel database del vecchio sito e nella tabella jos_content vedo tutto il mio vecchio sito.
Ho provato quindi a modificare il file configuration.php mettendo il riferimento al primo database ma il risultato sperato non c'è stato. Ho sbagliato qualcosa o è questa la strada giusta? Grazie.

mau_develop · « **Risposta #11 il:** 09 Gen 2011, 16:10:55 »

Ho provato quindi a modificare il file configuration.php mettendo il riferimento al primo database ma il risultato sperato non c'è stato.
-----------------------------------------------------------
questo era quello da fare... cosa vuol dire non c'è stato il risultato?
Funzionare deve funzionare... magari con altro template, magari un po' incasinato ma deve andare.

Da spazio ftp e database completamente vuoti, puliti, pialliati e lavati con perlana. Se si dispone di più db si può installare indicando un differente db, lasciando inalterato quello precedente.

1) Installare Joomla pacchetto appena downloadato e portare a termine l'installazione.
2) installare tutte le addons da pacchetti nuovi riportando il sito nella struttura originale
3) Verificare i db comparandoli, aldilà dei contenuti, le tabelle dovrebbero essere identiche
4) Se abbiamo dovuto cancellare il db vecchio perchè avevamo 1 solo db ora dovremmo cancellare anche il db appena creato con joomla e ripristinare il vecchio db del sito.
5) Sostituire il nuovo configuration.php con quello vecchio (in toto), dopo aver controllato che non contenga script strani

... direi basta.

M.

parsac01 · « **Risposta #12 il:** 09 Gen 2011, 21:57:55 »

Ho diversi database a disposizione e la nuova installazione l'ho fatta usando un secondo database. Quindi ho modificato il file configuration.php come scritto nel secondo messaggio ma joomla richiamava sempre il secondo db. Infatti da "configurazione-->sistema" il database collegato risultava ancora essere il secondo. Ho modificato il valore e il sito funziona perfettamente.
Avrei quindi 2 domande:
1) Nel sito prima del crash avevo dei componenti che non usavo. Se volessi non installarli ovviamente devo cancellare le relative tabelle nel database vero? E' una cosa facilmente fattibile?
2)Come mai la modifica al file configuration.php non ha richiamato il database 1? Questione di cache?

Integrazione: Allora ora loggandomi vedo il sito con gli articoli e tutto il resto. Se vado ad aprire dal back-end un articolo esso non si apre. Appare una pagina bianca. C'è ancora qualcosa che non va.... $:-\$

mau_develop · « **Risposta #13 il:** 09 Gen 2011, 22:57:47 »

Se volessi non installarli ovviamente devo cancellare le relative tabelle nel database vero?
---------------------------------
si

E' una cosa facilmente fattibile?
------------------------------------------
Direi di si se i componenti erano già disattivati...

2)Come mai la modifica al file configuration.php non ha richiamato il database 1? Questione di cache?
---------------------------------------------------
boh.. può darsi...

Integrazione: Allora ora loggandomi vedo il sito con gli articoli e tutto il resto. Se vado ad aprire dal back-end un articolo esso non si apre. Appare una pagina bianca. C'è ancora qualcosa che non va..
-----------------------------------------------------------------------------------------------------------------
umhhh... prova a disabilitare (non disinstallare) le extension aggiunte... guarda se la url è strana... attenzione al file htaccess a rinominarlo per ora.

beh direi che sei a buon punto e con poca fatica...

M.

parsac01 · « **Risposta #14 il:** 09 Gen 2011, 23:24:02 »

Ho disattivato le estensioni (non tutte per la verità) ma continuo a vedere pagina bianca.
L'url sembra pulito, è del tipo nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=48
Htaccess: il modrewrite non l'ho ancora abilitato e quindi non ho ancora rinominato niente.

Intanto imposto i permessi a 755.

Ti ringrazio ancora una volta.

Integrazione: ho dato un'occhiata sui forum, aspettando la risposta dell'hoster, e il problema è uguale a quello discusso qui http://forum.joomlahost.it/joomla-1-5-x/7725-problema-gestione-articoli.html Purtroppo non c'è la soluzione...

Dubbio: la procedura che ho seguito è questa: 1) Copiate tutte le cartelle del sito in locale tramite filezilla, 2) pulito spazio web, 3) installato joomla, 4) modificato il riferimento al database. Punto.
Ma non è che dovevo ricopiare le cartelle "administrator, cache, components, ecc" da locale a remoto no? $:-\$

mau_develop · « **Risposta #15 il:** 10 Gen 2011, 16:24:37 »

sectionid=-1
------------------
beh... non mi sembra molto regolare... hai perso la relazione tra sez cat articoli?

non credo che il tuo problema equivalga a quello che hai indicato, anche perchè quello che hai indicato più che un problema mi sembra una lamentela senza dati/discussione.

M.

parsac01 · « **Risposta #16 il:** 10 Gen 2011, 21:46:15 »

Hai ragione. Ho perso la relazione tra sezioni categorie e articoli nel back-end. Il sito lato admin si presenta senza relazioni, vedo tutto ma manca ogni relazione.
Se mi loggo dal menu utente invece il sito lo vedo perfettamente e l'url si presenta tipo http://www.nomesito.it/index.php?option=com_content&view=article&id=98&Itemid=102

Ma è mai possibile che dopo tre giorni l'assistenza non abbia avuto la premura di rispondere?

Mau_develop e chiunque voglia se avete qualche idea ve ne sarei infinitamente grato.

parsac01 · « **Risposta #17 il:** 12 Gen 2011, 08:17:52 »

L'hoster ha voluto le credenziali d'accesso per riprodurre il problema e cercare una soluzione..
Peccato che sono passati 5 giorni dall'apertura del ticket...

mau_develop · « **Risposta #18 il:** 12 Gen 2011, 17:16:15 »

mmm... non ha molto senso aver perso le relazioni..

fai un test a campione su qualche articolo, guarda la sua sezione/categoria/autore (id) e verifica nelle altre tabelle che corrisponda tutto.

M.

parsac01 · « **Risposta #19 il:** 12 Gen 2011, 22:24:50 »

Ciao mau_develop, grazie mille del tuo interessamento. Allora, ci sono aggiornamenti. Dall'assistenza dell'hoster nessuna notizia, hanno voluto le credenziali, ho visto che sono entrati ripetute volte ma poi non mi hanno fatto sapere ancora niente. Quindi, armato di buona volontà mi sono messo a maneggiare nell'amministrazione del sito e ho notato che quando andavo ad aprire le categorie e le sezioni mi usciva un errore che parlava da solo: Cannot load the editor (mentre tentando di modificare gli articoli usciva una pagina bianca). Sono andato quindi a disinstallare Jce e magicamente tutto ora funziona alla perfezione. Avevo provato a disattivarlo come tu mi dicesti ma evidentemente dovevo proprio disinstallarlo.
Ora il sito funziona solo che è rimasta l'anomalia dell'url (con quel sectionid=-1). Ho mandato gli aggiornamenti nel ticket di assistenza ma nessuna risposta. Per il resto tutto funziona. Ho provato a cercare sui forum cosa significasse questo -1 ma non ho trovato niente. Boh.. Grazie ancora comunque..