[Risolto] Siti hackerati

[parsac01]

Ciao a tutti, avrei un problema... anzi due.
Due perché sono due i siti che da questa mattina sono irraggiungibili (relativi ad un unico utente dell'hoster)
Digitando l'indirizzo mi esce un errore relativo ad una riga di index.php. La cosa mi era già successa un po' di tempo fa ma solo ad uno dei due siti, non ad entrambi. Comunque ho provveduto ad avvisare l'hoster e a pulire i file (index.php, sia quello front-end che quello di admin). Nelle due precedenti volte questa modifica mi ha risolto il problema solo che questa volta mi ha trovato altri errori in una pagina di un componente (phoca guestbook). Provato a pulire anche questo codice ora il sito si apre ma le pagine (tranne la home) escono letteralmente vuote (appare solo il menu verticale di sinistra).
Di uno dei due siti ho un backup completo fatto con akeeba circa un mesetto fa ma se fosse possibile vorrei evitare di ritornare così indietro.
Ho letto la guida di mau_develop (mi sembra fosse sua), ho fatto scansioni complete sul pc e, come detto, aperto un ticket all'assistenza dalla quale aspetto risposta ed istruzioni.
Secondo voi ci sono possibilità di ripristinare tutto? Grazie.

[mau_develop]

escludendo ciò che può fare l'hoster perchè non posso prevederlo, direi che se hai letto (bene) la mia guida dovresti riuscire più o meno a capire in che situazione ti trovi, cioè se c'è una probabilità che il db non sia nemmeno stato attaccato.

Per i files direi che tutto dipende dalle tue conoscenze e dalla tua voglia di spulciarti i contenuti uno ad uno.

M.

[parsac01]

Grazie della risposta mau_develop... Si ho letto la tua guida ed infatti sto salvando i file sul pc come descritto. Sono due siti piuttosto piccoli e non ci sarebbero problemi a spulciare i contenuti... il problema è che non so come e dove spulciare questi contenuti. 

[mau_develop]

...per quello che dicevo che molto dipende anche dall'esperienza.

In linea generale si dovrebbe cercare di ricostruire l'obbiettivo che aveva e come l'ha raggiunto.
Avrai avuto qualche componente vulnerabile o versione di joomla datata.... bisogna capire che vuln ha sfruttato se addirittura non è passato dal server, facendo tutto con qualche tool, e se il tool era specializzato per J o meno

Tutte queste info ti aiutano a capire dove è andato a smanacciare e a ripristinare.

La cosa migliore nel tuo caso è separare i files Joomla dai contenuti tuoi, quelli di joomla li sostituisci con una nuova installazione comprensiva dei componenti attualmente installati ma aggiornati e i tuoi li spulci in cerca di roba strana.
Prova a dare per scontato che il db sia integro....

M.

[gagarin77]

ciao,
Come consigli, potresti utilizzare dei software di confronto tra file (per win esiste il gratuito win merge)
Che permettono il confrotto tra file e cartelle.
Al limite puoi scaricati la versione "originale" di joomla corrispondente a quella del tuo sito e provi a fare un confronto.

poi singolarmente puoi controllare anche i moduli/componenti aggiunti
ideale sarebbe farlo con una copia di backup "sicura" del tuo sito che conteneva anche i moduli/componenti di terze parti
cosi il confronto era immediato di tutti i file presenti "online",

Naturalmente questo se desideri fare un controllo di quello che è successo...

[parsac01]

Il componente col bug credo di averlo individuato (il guestbook). Era aggiornato alla penultima versione ed evidentemente è quello l'anello debole. Dubito che si sia trattato di un attacco a forza bruta (la pass l'ho cambiata di recente).
Vorrei sapere un'ultima cosa mau_develop e gagarin77. Io sono ora in questa situazione:
Il sito è raggiungibile dal back-end. Vedo gli articoli, i componenti, i moduli, faccio modifiche. Se vado a fare però l'anteprima o apro il sito dal front-end vedo solo il template ed il menu di sinistra. Tutti gli articoli non compaiono, nessuna traccia. Facendo Ispeziona elemento per vedere il codice della pagina vedo solo qualche stringa e un link (immagine in allegato).
Secondo voi, è un problema di database? Ho scaricato il sito e controllato con diversi antivirus e tutto è negativo.
Attendo comunque risposte dall'assistenza dell'hoster. Grazie.

[allegato eliminato da un amministratore]

[mau_develop]

che è quello script che chiama?

perchè non sostituisci una nuova installazione di joomla collegandogli il vecchio db come ti ho suggerito?

poi piano piano allinei tutto.

M.

[parsac01]

Ok, pulisco tutto, reinstallo joomla, i componenti che c'erano prima (aggiornati) e poi collego il database, sperando che sia intatto. Vi faccio sapere, grazie!

[mau_develop]

aspetta però ad inserire i tuoi files nelle varie directory, prima guarda se ti appartengono e se sono stati modificati.

Se il guestbook ha una tabella da cui prende i messaggi può darsi che siano riusciti ad inserire codice in quella tabella, presta attenzione ai messaggi inseriti se contengono cose strane..

cerca di fare tutto in locale, backuppando gli step che hanno successo. Quando funziona tutto, pialli il remoto (db e files) e riuppi tutto

M.

[parsac01]

Allora, ho scoperto che tutti gli index.html e index.php di ogni cartella sono stati sovrascritti da un index.html (index.php) di dimensione 1.913 byte e contenente il codice visionabile dall'immagine in allegato.
Ora, come consigliato, sto installando le varie estensioni che erano installate. I messaggi del guestbook vengono salvati in una tabella e sono tutti puliti.
Quindi poi dovrò riallineare il vecchio sito al nuovo facendo attenzione a questi index modificati. Speriamo bene.

[allegato eliminato da un amministratore]

[parsac01]

Allora, ora sono in questa situazione:
- pulito completamente lo spazio web (avendo avuta cura in precedenza di salvare tramite filezilla tutto il sito in locale)
- eseguita nuova installazione joomla
- controllato database (sembra pulito)
- installate alcune delle precedenti estensioni (molte non erano usate)
 Quindi ora dovrei riallineare il vecchio sito.
Apro filezilla e mi ritrovo il locale e il remoto. Perciò ho le cartelle "administrator", "cache", "components", ecc.... Devo quindi prendere quelle locali e copiarle con attenzione nel remoto? Non capisco come riallineare gli id delle sezioni/categorie. Grazie ancora.

Integrazione: Quando ho provveduto a reinstallare joomla, nella parte relativa al database, ho inserito un database vuoto, installando i dati di esempio. Quindi ora aprendo il sito mi ritrovo un sito con le faq di joomla e cose varie.
Con phpmyadmin vado nel database del vecchio sito e nella tabella jos_content vedo tutto il mio vecchio sito.
Ho provato quindi a modificare il file configuration.php mettendo il riferimento al primo database ma il risultato sperato non c'è stato. Ho sbagliato qualcosa o è questa la strada giusta? Grazie.

[mau_develop]

Ho provato quindi a modificare il file configuration.php mettendo il riferimento al primo database ma il risultato sperato non c'è stato.
-----------------------------------------------------------
questo era quello da fare... cosa vuol dire non c'è stato il risultato?
Funzionare deve funzionare... magari con altro template, magari un po' incasinato ma deve andare.

Da spazio ftp e database completamente vuoti, puliti, pialliati e lavati con perlana. Se si dispone di più db si può installare indicando un differente db, lasciando inalterato quello precedente.

1) Installare Joomla pacchetto appena downloadato e portare a termine l'installazione.
2) installare tutte le addons da pacchetti nuovi riportando il sito nella struttura originale
3) Verificare i db comparandoli, aldilà dei contenuti, le tabelle dovrebbero essere identiche
4) Se abbiamo dovuto cancellare il db vecchio perchè avevamo 1 solo db ora dovremmo cancellare anche il db appena creato con joomla e ripristinare il vecchio db del sito.
5) Sostituire il nuovo configuration.php con quello vecchio (in toto), dopo aver controllato che non contenga script strani

... direi basta.

M.

[parsac01]

Ho diversi database a disposizione e la nuova installazione l'ho fatta usando un secondo database. Quindi ho modificato il file configuration.php come scritto nel secondo messaggio ma joomla richiamava sempre il secondo db. Infatti da "configurazione-->sistema" il database collegato risultava ancora essere il secondo. Ho modificato il valore e il sito funziona perfettamente.
Avrei quindi 2 domande:
1) Nel sito prima del crash avevo dei componenti che non usavo. Se volessi non installarli ovviamente devo cancellare le relative tabelle nel database vero? E' una cosa facilmente fattibile?
2)Come mai la modifica al file configuration.php non ha richiamato il database 1? Questione di cache?

Integrazione: Allora ora loggandomi vedo il sito con gli articoli e tutto il resto. Se vado ad aprire dal back-end un articolo esso non si apre. Appare una pagina bianca. C'è ancora qualcosa che non va.... 

[mau_develop]

Se volessi non installarli ovviamente devo cancellare le relative tabelle nel database vero?
---------------------------------
si

 E' una cosa facilmente fattibile?
------------------------------------------
Direi di si se i componenti erano già disattivati...

2)Come mai la modifica al file configuration.php non ha richiamato il database 1? Questione di cache?
---------------------------------------------------
boh.. può darsi...

Integrazione: Allora ora loggandomi vedo il sito con gli articoli e tutto il resto. Se vado ad aprire dal back-end un articolo esso non si apre. Appare una pagina bianca. C'è ancora qualcosa che non va..
-----------------------------------------------------------------------------------------------------------------
umhhh... prova a disabilitare (non disinstallare) le extension aggiunte... guarda se la url è strana... attenzione al file htaccess a rinominarlo per ora.

beh direi che sei a buon punto e con poca fatica...

M.

[parsac01]

Ho disattivato le estensioni (non tutte per la verità) ma continuo a vedere pagina bianca.
L'url sembra pulito, è del tipo nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=48
Htaccess: il modrewrite non l'ho ancora abilitato e quindi non ho ancora rinominato niente.

Intanto imposto i permessi a 755.

Ti ringrazio ancora una volta.

Integrazione: ho dato un'occhiata sui forum, aspettando la risposta dell'hoster, e il problema è uguale a quello discusso qui http://forum.joomlahost.it/joomla-1-5-x/7725-problema-gestione-articoli.html Purtroppo non c'è la soluzione...

Dubbio: la procedura che ho seguito è questa: 1) Copiate tutte le cartelle del sito in locale tramite filezilla, 2) pulito spazio web, 3) installato joomla, 4) modificato il riferimento al database. Punto.
Ma non è che dovevo ricopiare le cartelle "administrator, cache, components, ecc" da locale a remoto no? 

[mau_develop]

sectionid=-1
------------------
beh... non mi sembra molto regolare... hai perso la relazione tra sez cat articoli?

non credo che il tuo problema equivalga a quello che hai indicato, anche perchè quello che hai indicato più che un problema mi sembra una lamentela senza dati/discussione.

M.

[parsac01]

  Hai ragione. Ho perso la relazione tra sezioni categorie e articoli nel back-end. Il sito lato admin si presenta senza relazioni, vedo tutto ma manca ogni relazione.
Se mi loggo dal menu utente invece il sito lo vedo perfettamente e l'url si presenta tipo http://www.nomesito.it/index.php?option=com_content&view=article&id=98&Itemid=102

Ma è mai possibile che dopo tre giorni l'assistenza non abbia avuto la premura di rispondere?

Mau_develop e chiunque voglia se avete qualche idea ve ne sarei infinitamente grato.

[parsac01]

L'hoster ha voluto le credenziali d'accesso per riprodurre il problema e cercare una soluzione..
Peccato che sono passati 5 giorni dall'apertura del ticket... 

[mau_develop]

mmm... non ha molto senso aver perso le relazioni..

fai un test a campione su qualche articolo, guarda la sua sezione/categoria/autore (id) e verifica nelle altre tabelle che corrisponda tutto.

M.

[parsac01]

Ciao mau_develop, grazie mille del tuo interessamento. Allora, ci sono aggiornamenti. Dall'assistenza dell'hoster nessuna notizia, hanno voluto le credenziali, ho visto che sono entrati ripetute volte ma poi non mi hanno fatto sapere ancora niente. Quindi, armato di buona volontà mi sono messo a maneggiare nell'amministrazione del sito e ho notato che quando andavo ad aprire le categorie e le sezioni mi usciva un errore che parlava da solo: Cannot load the editor (mentre tentando di modificare gli articoli usciva una pagina bianca). Sono andato quindi a disinstallare Jce e magicamente tutto ora funziona alla perfezione. Avevo provato a disattivarlo come tu mi dicesti ma evidentemente dovevo proprio disinstallarlo.
Ora il sito funziona solo che è rimasta l'anomalia dell'url (con quel sectionid=-1). Ho mandato gli aggiornamenti nel ticket di assistenza ma nessuna risposta. Per il resto tutto funziona. Ho provato a cercare sui forum cosa significasse questo -1 ma non ho trovato niente. Boh.. Grazie ancora comunque..

[mau_develop]

ma a quell'articolo, se lo apri con un editor di joomla, lo vedi appartenere ad una sezione? esiste la sezione? esiste il menu? esiste soprattutto un autore con un id esistente in tutte le tab aro?

M.

[parsac01]

Allora, per essere chiari, apro Gestione articoli e clicco su diversi articoli per modificarli. Gli url di questi articoli che vedo nella barra degli indirizzi una volta aperti (appartenenti a sezioni e categorie diverse) sono:
nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=48
nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=52
nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=158
nomesito/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=124

Sempre in Gestione articoli vedo la tabella in cui sono elencati tutti gli articoli e le colonne Sezione, Categoria, Author e Id sono regolari, con il nome di sezione, categoria, autore e id corretto.

Il sito comunque funziona perfettamente.
E' attualmente formato da 4 Sezioni (con Id numero 5, 6, 7, 8 ) e sei Categorie (con Id numero 34, 35, 36, 37, 38, 43). Questi valori li vedo rispettivamente da Gestione sezioni e da Gestione categorie.

[mau_develop]

ummhh se tutto funziona e il problema del -1 è solo sull'amministrazione, non penso ci siano problemi visto che ti ritrovi tutti gli id corretti.
Se editi l'articolo occorre solo il cid, del sectionid te ne fai nulla (credo), se poi aprendolo in "edit" mostra nelle select le giuste voci a cui appartiene direi che è corretto.

Il problema è se lo vedi nel frontend che non capisco il perchè...

ma riepilogando, perchè rischio poi di far confusione... cos'è che non funziona ora?

M.

[parsac01]

Ora funziona tutto, o almeno sembra, e più che di malfunzionamento si tratta solo di anomalia... Mi riferisco a quel sectionid=-1. Vorrei capire cosa porta il programma a scrivere quell'url con quel -1, giusto per imparare una cosa in più.
Nel frontend vedo l'url normale: nomesito/index.php?option=com_content&view=article&id=78&Itemid=85

Un'altra cosa mau_develop, giusto per scongiurare il ripetersi di tali eventi: i siti hackerati sono due, entrambi sono ospitati sullo stesso spazio e addirittura sono riferiti allo stesso utente dell'hoster, cioè quando apro l'ftp e immetto il nome utente e la pass mi ritrovo tutte e due le cartelle dei siti. Detto questo, oltre alle imperative condizioni (tenere aggiornate le estensioni, password strong, computer "puliti") cosa potrei fare? Sembra una domanda scontata ma la pongo perché mi sembra alquanto strano che siano stati hackerati due siti sullo stesso spazio contemporaneamente. Che ci sia una responsabilità dell'hoster? A proposito, attendo ancora una risposta dall'assistenza.............
Grazie mau_develop-

[mau_develop]

sul perchè del -1 in amministrazione, ripeto, potrebbe essere pure normale, cioè che anche il mio faccia così e che voglia semplicemente dire che non hai specificato una sezione o una categoria. Non ho guardato il mio perchè sto facendo altro e ho tutti i pc occuati. A logica se valorizzi la select delle sezioni e ne scegli una dovrebbe idicare corretto. Io avevo capito che lo vedevi nel lato pubblico ..ed era un po' meno normale

Quella che fai sulla sicurezza non è una domanda stupida o banale, è difficile dare una risposta senza basarsi su dei log di un server che nessuno ti darà mai...
allora cerco di dirti come la penso io, che sono poi quasi sempre nelle tue condizioni, tranne rari casi in cui abbiamo necessariamente collaborato ( ) , non ho visto log e ho dovuto supporre.
Non è un comportamento costante, lo ammetto, quindi riduco il discorso al sito a cui tengo di più:

 Cerco sempre di tenere tutto aggiornato e backuppato, se mi bucano:
a) controllo lo stato dei componenti
   1) trovo roba nn aggiornata e vulnerabile: sono un babbeo, cerco di sistemare come hai fatto + o meno tu e me ne frego pure di indagare.
   2)E' tutto a posto....
        2a) mmmhh... virus! -> mi sono auto-bucato... cerco possibili anomalie nel pc
        2b) provo a vedere se c'è qualche vulnerabilità nel server.

Ma essenzialmente ciò che ti protegge più di qualsiasi cosa è il backup

M.

ps: ... sei di Milano o dintorni?

[parsac01]

Ok precisissimo e chiarissimo come sempre. Ti ringrazio per avermi aiutato... 
Quando e se mi rispondono dall'assistenza posto qui, giusto per vedere che dicono loro.

Comunque non sono di Milano, sono della provincia di Brindisi, Salento, Puglia.

Ciao e grazie ancora!

[tonicopi]

E' stato interessante leggervi. Ma per non incorrere in tutta questa snervante trafila direi: backup, backup, backup!
 

[parsac01]

Si tonicopi, backup, se ne parla spesso sul forum ma forse il problema, come dice appunto mau_develop nella guida, è dovuto all'affannosa ricerca delll'estensione miracolosa, che risolva tutti i nostri problemi ogni volta, ma che lascia il nostro sito e il nostro database pieno di monnezza. Questa ricerca è così affannosa che spesso si rimanda sempre di giorno in giorno la creazione di una copia di sicurezza che alla fine il sito non c'è più.
Sarebbe bene che tutti entrassimo nell'ottica del backup manuale e sistematico. 15 minuti alla settimana per non passare 6 giorni di crisi....

[GabIvan]

Si tonicopi, backup, se ne parla spesso sul forum ma forse il problema, come dice appunto mau_develop nella guida, è dovuto all'affannosa ricerca delll'estensione miracolosa, che risolva tutti i nostri problemi ogni volta, ma che lascia il nostro sito e il nostro database pieno di monnezza. Questa ricerca è così affannosa che spesso si rimanda sempre di giorno in giorno la creazione di una copia di sicurezza che alla fine il sito non c'è più.
Sarebbe bene che tutti entrassimo nell'ottica del backup manuale e sistematico. 15 minuti alla settimana per non passare 6 giorni di crisi....

15 minuti?
Lo si fa in meno di due tanto non è che si rimane a guardare lo schermo mentre il client ftp scarica i file.

[mau_develop]

e ti confermo pure:
option=com_content&sectionid=-1&task=edit&cid[]=134
...che è mio.

in effetti è giusto, solo che è già una quindicina di gg che nn tocco cod joomla e mi sono dimenticato tutto
ho visto che è ricomparso Marco... strano che non mi abbia bacchettato ciao anche a te desaparecidos.

Un altra cosuccia che io ritengo molto utile per la sicurezza sia di J che del sistema su cui si lavora, sono un paio di estensioni per ffox:

una è noscript, un rompiscatole che sicuramente va configurato bene ma che salva il c. parecchie volte
l'altro è tamper data, un tool che permette di vedere tutte le header richiesta-risposta che passano dal browser; soprattutto quando visitate siti che avete fatto voi sapete quali sono gli url che vengono richiesti e non sarà difficile vedere quando dal browser partono richieste strane.

ma in fondo in fondo... non diventateci pazzi... se non ne vale la pena.

M.

[parsac01]

     e pensare che ho mandato 5 aggiornamenti del ticket per controllarmi quel sectionid=-1  per questo forse non mi avranno risposto, devono ancora capire la mia domanda...  comunque ora ho chiuso il ticket, li lascio riposare senza crisi d'identità...