[risolto] Errore dopo worm >> ALLARME WORM

[elena2505]

Però aspetta... il sito è a posto in un altro hosting
Io sospetto che siano entrati da xclone backup, dove non avevo cambiato la password di default. Che dici? Si può capire?
Non vorrei rimettere tutto e poi tornare ad avere lo stesso problema

[mau_develop]

difficile per me andare oltre non potendo controllare ciò che fai e come lo fai...
Ho provato il malware che trovi su quel sito (nn te lo nomino.. è un po' scurrile) è non è molto innocuo... ti ri-consiglierei una bella scansione con antivirus.

Per chiarire le mie affermazioni di prima sull'hoster..
... ovviamente nel tuo caso ha fatto bene a disattivare il servizio, eri tu un pericolo per i tuoi visitatori e lui non poteva e non era suo compito rimuovere il problema.
Diverso se era come dicevi tu che ricevevi attacchi (non presumeva tu fossi stata già bucata), in qs caso lui poteva benissimo dirti da dove era arrivato.

Con l'hosting che hai puoi anche tu parzialmente, se te ne accorgi subito, nel pannellino di amministrazione trovi quello per visualizzare gli ultimi log del server e relativi ip di accesso e richieste.
Farlo ora è inutile.

M.

[elena2505]

Ho ripristinato tutto il sito. Ho creato un nuovo database e importato i vecchi dati. Nuove password.
Però ho sempre lo stesso problema con gli allegati di Albo Pretorio e solo con quelli:
http://www.comune.gibellina.tp.it/jweb/index.php?option=com_chronoconnectivity2&Itemid=53

Mi compare sempre l'errore

Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/jweb/images/allegati_10/20110614163253_0774.pdf in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 16

Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 61

Ho provato tutto il sito su nuovo hosting (aruba per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto

[elena2505]

Scusate se vi ho fatto perdere tempo, ma mi hanno fatto notare che non caricava alcuni pdf e l'errore era dettato dalla mancanza del file.
Grazie a tutti per aver preso a cuore il mio caso.
Risolto dopo un lavoraccio di travaso di 3 giorni

[vales]

Finalmente, ora siamo tutti più tranquilli.

La seconda serie di errori è conseguenza del primo. Credo che trovando il primo errore scrive qualcosa, e prima dell'header non possono essere inviati output.

Il primo errore lo trovavo anch'io in fase di messa a punto dello script e derivava dal fatto di non trovare il file da caricare o per il problema dei permessi o proprio perchè il file non esisteva nella posizione di caricamento.
Per questo ti avevo suggerito di controllare nella configurazione di albo quale cartella hai abilitata per gli allegati.

Un salvataggio di conferma della configurazione non farebbe male.

Ma questo ti era saltato ?

[elena2505]

si mannaggia... mi avevi già dato la soluzione ieri.
Non mi ero accorta, mi ero fatta prendere dal panico più che altro.
Spero che non mi succeda più, che incubo!

[vales]

Tutta arte che entra, mi dicevano.

No problem.

[vales]

Ho provato tutto il sito su nuovo hosting (sgaragnao per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto

Ricorda che su quell'hosting dopo l'installazione devi ripristinare i permessi delle cartelle con la procedura del pannello di controllo che mettono a disposizione.

[mau_develop]

io ti rinnovo l'invito a fare un'approfondita se non di più scansione con almeno 342 anti-virus/malware...

Oggi ho fatto la fine della scimmietta della barzelletta che toglie il famoso tappo al maiale
Curioso appunto come una scimmia volevo vedere come "funzionava il gioco, per cercare di appropriarmi di quel malware senza distruggermi qualcosa.... sono andato poco lontano...

nel deoffuscarlo, ho sostituito tutto il js che eseguiva con delle stampe a video, maaa.... non ho salvato il file prima di chiamarlo , così sono finito sulla pagina "infetta" con giù molte difese importanti.
E' un sistema lnx, non particolarmente hardenizzato ma cmq installato a dovere... si... ciao
Ora so cosa fa quel virus, ne più ne meno di una variante dell'originale (ricordate il casino tempo fa dei redirect quando venivi da google?) ... solo che a quanto pare passa da FFox (sembra) acquisisce dei privilegi e installa un mini server, con cui fa MTM ad ogni tua richiesta. (quindi prob anche sull'ftp)
Non so perchè, forse per regole di iptables che ho impostato credo, da me fallisce le connessioni, però ora sono comunque obbligato a sistemare tutto....

M.

ps: ahh! ...dimenticavo... è indiano! ...non quelli con le piume:)