Autore Topic: [risolto] Errore dopo worm >> ALLARME WORM (Letto 10322 volte)

elena2505 · « **il:** 13 Giu 2011, 17:58:42 »

Dopo un attacco hacker al sito, ho dovuto ripristinare un backup e adesso quando tento di scaricare gli allegati, nella finestra di popup mi compaiono questi messaggi:

Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613175041_0767.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16

Qualcuno ha idea di cosa possa fare per sistemare tutto?

elena2505 · « **Risposta #1 il:** 13 Giu 2011, 18:43:52 »

Mi rispondo da sola perché ho risolto questo problema e ne è sorto un altro. Adesso quando clicco sul pdf mi compare questo messaggio: "il file non inziia con '%pdf-'
Boh. Io ho semplicemente caricato di nuovo tutto il sito

mau_develop · « **Risposta #2 il:** 13 Giu 2011, 18:56:43 »

con cosa li hai fatti quei files?
sicura che non contengono malware?
gli header di alcuni files possono essere iniettati, come quelli dei pdf e delle immagini.

lo stat su un file ritorna un array di info sul file stesso, il fatto che fallisca non è un bel segno se il file è leggibile/scrivibile

M.

elena2505 · « **Risposta #3 il:** 13 Giu 2011, 19:21:47 »

dei pdf sono sicura, perché sono scansioni fatte da me da cartaceo

vales · « **Risposta #4 il:** 14 Giu 2011, 04:32:47 »

Ora vedo di nuovo il primo errore.

Credo che siano i permessi sulla cartella o la configurazione della cartella in chronoforms o images da riposizionare.

elena2505 · « **Risposta #5 il:** 14 Giu 2011, 06:19:16 »

ho cambiato i permessi dei files pdf a 755, in effetti erano a 644, ma niente
sempre lo stesso errore

elena2505 · « **Risposta #6 il:** 14 Giu 2011, 06:30:42 »

Gli errori sono due. Prima c'è questo

Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613174854_0766.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16

E poi una lunga serie di questi

Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 61

mau_develop · « **Risposta #7 il:** 14 Giu 2011, 07:17:56 »

/uploads/allegati_10/20110613174854_0766.pdf
-------------------------------------------------------------------
un dubbio... non è che hai aperto e modificato qualche files senza usare notepad o cmq editor utf8?

oppure:

prova a scaricare dal sito (ftp) qs file, zippalo e allegalo ..se possibile e non contiene cose riservate, probabilmente è corrotto o ha qualcosa che non va.
Se anche la scansione l'hai fatta tu non vuol dire che non gli scrivi dentro un malware, così come non è detto che il tuo av se ne accorga.

oppure:

Prova a farli scansire da Anubys http://anubis.iseclab.org/

M.

PS l'errore ha un suo significato, purtroppo non univoco ed è che facendo lo stat su quel file "succede qualcosa" per cui viene printato dell'html, che può essere malware o semplice stringhe di errore, che cozza con la sessione che pretende che nessun header html venga lanciato prima di lei.

elena2505 · « **Risposta #8 il:** 14 Giu 2011, 08:45:00 »

Secondo me il sito è attualmente mira di qualche attacco perché adesso non mi fa entrare in ftp e nel cpanel mi dice che a causa di tentativi ripetuti di accesso forzato l'account è stato bloccato

A questo punto le cose potrebbero essere collegate, ma io non darei la colpa ai files pdf dell'albo, che sono lì da tempo

mau_develop · « **Risposta #9 il:** 14 Giu 2011, 10:39:18 »

... questa è un'altra delle cose che mi fa andare il sangue al cervello! ..server da doddare e basta altrochè servizi.
spero sia almeno gratuito

pensa che bello se alla mattina non trovi più la macchina e al suo posto un bel biglietto:
"siamo la polizia le abbiamo preso noi la macchina perchè stavano tentando di rubarla"

..ma loro sicurezze non ne hanno?

un conto è bloccare un sito già "violato" e quindi dannoso per gli altri (..chissà perchè poi... sys della cippa), un conto è sospendere un servizio e aspettare che sia l'utente ad accorgersene.

Bah secondo me i tuoi problemi finiscono cambiando hosting.

M.

elena2505 · « **Risposta #10 il:** 14 Giu 2011, 10:59:09 »

Mi hanno risposto che devo trovare io da dove arriva l'attacco, ma io non sono in grado.
A questo punto mi sposto in un'altra sezione del forum, perché ho un sacco di errori di quel tipo anche nelle altre pagine adesso
Grazie

vales · « **Risposta #11 il:** 14 Giu 2011, 11:44:51 »

Citazione da: elena2505 - 14 Giu 2011, 06:30:42

Gli errori sono due. Prima c'è questo

Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613174854_0766.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16

E poi una lunga serie di questi

Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 61

La seconda serie di errori è conseguenza del primo. Credo che trovando il primo errore scrive qualcosa, e prima dell'header non possono essere inviati output.

Il primo errore lo trovavo anch'io in fase di messa a punto dello script e derivava dal fatto di non trovare il file da caricare o per il problema dei permessi o proprio perchè il file non esisteva nella posizione di caricamento.

Per questo ti avevo suggerito di controllare nella configurazione di albo quale cartella hai abilitata per gli allegati.

Un salvataggio di conferma della configurazione non farebbe male.

mau_develop · « **Risposta #12 il:** 14 Giu 2011, 11:47:36 »

mi mandi in pvt l'url completo pls

M.

elena2505 · « **Risposta #13 il:** 14 Giu 2011, 12:56:59 »

si, per favore, qualcuno mi aiuti.

elena2505 · « **Risposta #14 il:** 14 Giu 2011, 12:59:31 »

Il problema è che per adesso non mi fa entrare nel sito visto che mi da questi errori anche nella pagina iniziale e non solo negli allegati.

mau_develop · « **Risposta #15 il:** 14 Giu 2011, 14:21:09 »

...devi modificare il titolo... non è dopo worm... tu il problema ce l'hai ancora.

poi appena ho un attimo guardo anche cosa vuol fare il tipo

comunque sia fa partire uno script al caricamento se il referrer è x, siccome è un innerhtml inserito nel dom lo fa partire prima della sessione.

M.

elena2505 · « **Risposta #16 il:** 14 Giu 2011, 15:04:47 »

Stai parlando arabo per me... che significa tutto quello che hai scritto?
Sinceramente mi trovo in difficoltà stavolta... qualcuno insiste. Tutte le password users erano alterate e le ho dovute ripristinare da phpmyadmin

elena2505 · « **Risposta #17 il:** 14 Giu 2011, 15:32:32 »

Allora, ho momentaneamente trasferito il sito qui, per renderlo subito visibile:
http://www.pasmservice.it/gibellina/index.php?option=com_chronoconnectivity2&Itemid=53

però non apro gli allegati di albo pretorio perché mi da' questo errore:
il file non inizia con '%pdf-'
Ho cambiato cartella dalla configurazione di Albo e ho messo images/allegati_10 e stessa risposta
i permessi sono 755

elena2505 · « **Risposta #18 il:** 14 Giu 2011, 16:17:12 »

Risolto con gli allegati nel nuovo hosting.
Ora devo solo capire da dove sono entrati, se stanno ancora tentando di entrare e per quale oscuro motivo vogliono entrare
Che stress

mau_develop · « **Risposta #19 il:** 14 Giu 2011, 17:07:41 »

Ora devo solo capire da dove sono entrati
---------------------------------------------------------
... lascia perdere, parti dal fatto che se sono entrati hai sempre qualcosa di non aggiornato o di smanacciato male.

se stanno ancora tentando di entrare
---------------------------------------------------
chettifrega?

una volta che il sito è a posto è come dare le capocciate al muro

e per quale oscuro motivo vogliono entrare
--------------------------------------------------------
sito territoriale ... amm pubblica... un pozzo di dati!
Guarda la mia firma

lo hanno fatto ieri ... per quale motivo? ... informazioni....dati... poi cosa farne si vede dopo

M.

elena2505 · « **Risposta #20 il:** 14 Giu 2011, 17:21:01 »

Però aspetta... il sito è a posto in un altro hosting
Io sospetto che siano entrati da xclone backup, dove non avevo cambiato la password di default. Che dici? Si può capire?
Non vorrei rimettere tutto e poi tornare ad avere lo stesso problema

mau_develop · « **Risposta #21 il:** 14 Giu 2011, 19:39:59 »

difficile per me andare oltre non potendo controllare ciò che fai e come lo fai...
Ho provato il malware che trovi su quel sito (nn te lo nomino.. è un po' scurrile) è non è molto innocuo... ti ri-consiglierei una bella scansione con antivirus.

Per chiarire le mie affermazioni di prima sull'hoster..
... ovviamente nel tuo caso ha fatto bene a disattivare il servizio, eri tu un pericolo per i tuoi visitatori e lui non poteva e non era suo compito rimuovere il problema.
Diverso se era come dicevi tu che ricevevi attacchi (non presumeva tu fossi stata già bucata), in qs caso lui poteva benissimo dirti da dove era arrivato.

Con l'hosting che hai puoi anche tu parzialmente, se te ne accorgi subito, nel pannellino di amministrazione trovi quello per visualizzare gli ultimi log del server e relativi ip di accesso e richieste.
Farlo ora è inutile.

M.

elena2505 · « **Risposta #22 il:** 15 Giu 2011, 10:50:10 »

Ho ripristinato tutto il sito. Ho creato un nuovo database e importato i vecchi dati. Nuove password.
Però ho sempre lo stesso problema con gli allegati di Albo Pretorio e solo con quelli:
http://www.comune.gibellina.tp.it/jweb/index.php?option=com_chronoconnectivity2&Itemid=53

Mi compare sempre l'errore

Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/jweb/images/allegati_10/20110614163253_0774.pdf in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 16

Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 61

Ho provato tutto il sito su nuovo hosting (aruba per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto

elena2505 · « **Risposta #23 il:** 15 Giu 2011, 10:57:42 »

Scusate se vi ho fatto perdere tempo, ma mi hanno fatto notare che non caricava alcuni pdf e l'errore era dettato dalla mancanza del file.
Grazie a tutti per aver preso a cuore il mio caso.
Risolto dopo un lavoraccio di travaso di 3 giorni

vales · « **Risposta #24 il:** 15 Giu 2011, 11:26:09 »

Finalmente, ora siamo tutti più tranquilli.

Citazione da: vales - 14 Giu 2011, 11:44:51

La seconda serie di errori è conseguenza del primo. Credo che trovando il primo errore scrive qualcosa, e prima dell'header non possono essere inviati output.

Il primo errore lo trovavo anch'io in fase di messa a punto dello script e derivava dal fatto di non trovare il file da caricare o per il problema dei permessi o proprio perchè il file non esisteva nella posizione di caricamento.
Per questo ti avevo suggerito di controllare nella configurazione di albo quale cartella hai abilitata per gli allegati.

Un salvataggio di conferma della configurazione non farebbe male.

Ma questo ti era saltato ?

elena2505 · « **Risposta #25 il:** 15 Giu 2011, 11:34:29 »

si mannaggia... mi avevi già dato la soluzione ieri.
Non mi ero accorta, mi ero fatta prendere dal panico più che altro.
Spero che non mi succeda più, che incubo!

vales · « **Risposta #26 il:** 15 Giu 2011, 11:38:37 »

Tutta arte che entra, mi dicevano.

No problem.

vales · « **Risposta #27 il:** 16 Giu 2011, 06:11:07 »

Citazione da: elena2505 - 15 Giu 2011, 10:50:10

Ho provato tutto il sito su nuovo hosting (sgaragnao per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto

Ricorda che su quell'hosting dopo l'installazione devi ripristinare i permessi delle cartelle con la procedura del pannello di controllo che mettono a disposizione.

mau_develop · « **Risposta #28 il:** 16 Giu 2011, 17:54:04 »

io ti rinnovo l'invito a fare un'approfondita se non di più scansione con almeno 342 anti-virus/malware...

Oggi ho fatto la fine della scimmietta della barzelletta che toglie il famoso tappo al maiale

Curioso appunto come una scimmia volevo vedere come "funzionava il gioco, per cercare di appropriarmi di quel malware senza distruggermi qualcosa.... sono andato poco lontano...

nel deoffuscarlo, ho sostituito tutto il js che eseguiva con delle stampe a video, maaa.... non ho salvato il file prima di chiamarlo

, così sono finito sulla pagina "infetta" con giù molte difese importanti.
E' un sistema lnx, non particolarmente hardenizzato ma cmq installato a dovere... si... ciao

Ora so cosa fa quel virus, ne più ne meno di una variante dell'originale (ricordate il casino tempo fa dei redirect quando venivi da google?) ... solo che a quanto pare passa da FFox (sembra) acquisisce dei privilegi e installa un mini server, con cui fa MTM ad ogni tua richiesta. (quindi prob anche sull'ftp)
Non so perchè, forse per regole di iptables che ho impostato credo, da me fallisce le connessioni, però ora sono comunque obbligato a sistemare tutto....

M.

ps: ahh! ...dimenticavo... è indiano! ...non quelli con le piume:)

Autore Topic: [risolto] Errore dopo worm >> ALLARME WORM (Letto 10322 volte)

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop