Autore Topic: Web attack mass injection website (Letto 18339 volte)

atlpaperino · « **Risposta #20 il:** 26 Giu 2012, 13:59:36 »

anche l'amico , ha detto OK ! quindi dirrei anche se in maniera artigianale "momentaneamente " risolto

Grazie a tutti

atlpaperino · « **Risposta #21 il:** 29 Giu 2012, 17:20:33 »

Purtroppo ho dovuto togliere la dicitura "risolto" perchè il problema a distanza di un paio di giorni si è riproposto ... sinceramente non so + che pesci prendere e quindi avrei preso la seguente decisione ... rifaccio tutto da capo , per mi servirebbe un pò del vostro aiuto ( forse adesso vado OT .. se lo fossi spostare pure il messaggio in altra sezione )

pensavo di : nell'ordine ditemi se qualcosa è inutile o è sbagliato

cambiare user e psw FTP
cambiare user e psw accesso joomla
cambiare user e psw Database

sono tutti cambi che possofare da solo , o qualcosa devo chiederlo al provider ?

fare un salvataggio del sito - file e database
cancellare tutto dal sito

creare una nuovo database e fare una nuona installazione di j 2.5 ( tanto prima o poi avrei dovuto farla ), purtroppo non riesco nemmeno a fare la migrazione con jupgrade ( tutte a me capitano ) si blocca all'ultimo passaggio ...

a questo punto mi servirebbero vostre indicazioni su :

come recupero e se posso recuperare gli articoli del vecchio sito ?
c'è qualche guida ?
se non sbaglio gli articoli si trovano all'interno del database , giusto ? corro qualche rischio a prenderli ?

Grazie delle indicazioni
Marco

mau_develop · « **Risposta #22 il:** 29 Giu 2012, 18:42:02 »

guarda il post in evidenza in alto a qs sezione.

M.

Npaquito · « **Risposta #23 il:** 29 Giu 2012, 18:52:40 »

Hola

Citazione da: atlpaperino - 29 Giu 2012, 17:20:33

...per mi servirebbe un pò del vostro aiuto...

che non ti potremo dare visto che in tutta la discussione non hai fornito manco un dato reale concernente al problema, solo ci hai fornito suposizioni che poi si sono dimostrate infondate.

atlpaperino · « **Risposta #24 il:** 29 Giu 2012, 20:25:37 »

sinceramente credevo di avervi esposto il problema abbastanza chiaramente , nel primo post ho esposto il problema , nei successivi ho pure fornito le immagini degli alert dei 2 antivirus , ho anche spiegato che oltre agli alert il principale problema era che il menu del backend era comme se fosse disabilitato.. .. ho fornito la versione di joomla , non posso fornirvi le versioni di 2 plugin installati ( dovete fidarvi della mia parola sull'aggiornamento ) non avendo la possibilità di accedere al menu ... se poi mi sono spiegato male nella mia ignoranza ..allora è un altro problema

Se puoi farmi sapere quali altri dati ti servono sarò molto contento di fornirteli

Grazie e scusate
Marco

Npaquito · « **Risposta #25 il:** 29 Giu 2012, 20:43:15 »

Hola

Non siamo d'accordo, te hai fornito le tue impressioni generiche non fondate su dati informatici e cambianti su quanto immaginavi dal di fuori:

Citazione da: atlpaperino - 29 Giu 2012, 17:20:33

...
stamani all'apertura del sito www.laurenzianabasket.it il mio antivirus norton ha rilevato la seguente intrusione Web attack mass injection website

collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?

mi son oaccorto che il menu del backend ( quellodove c'è menu -contenuti ecc ecc - non è piu utilizzabile ( non posso cliccarci sopra) .. secondo voi è sintomo di hackeraggio?

PS se può servirti , ti allego la videata dell'attacco rilevata da norton

Ti allegao anche l'immagine che mi ha mandato un amico , con diverso antivurus rispetto al mio ... quindi se non un attacco ... come risolvo il problema ?

scusa se mi ripeto .. ma il fatto di non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile è risolvibile ?

inoltre i 2 js ( mootools e caption ) che danno problemi a cosa servono ?

ho fatto una prova togliento i 2 JS ( mootools e captions) dal sito e l'alert non appare +

pensavo di : nell'ordine ditemi se qualcosa è inutile o è sbagliato
cambiare user e psw FTP
cambiare user e psw accesso joomla
cambiare user e psw Database

E dopo tutto questo tempo non sappiamo qual'è il problema, solo abbiamo le tue supposizioni, fino adesso infondate, comunque puoi dimenticare l'hackeraggio, l'antivirus, il tuo amico, ecc... non è li é dentro del codice del tuo sito, e rileggi

Citazione da: Npaquito - 26 Giu 2012, 12:04:36

...cerca qual'è il messaggio d'errore (attivando il debug, con i log, ecc...) e parti da li.

che era il punto principale mai risposto

mau_develop · « **Risposta #26 il:** 29 Giu 2012, 20:45:50 »

Allora, parti da un concetto: fino a prova contraria la 2.5.6 non è vulnerabile e i files sono comuni a tutti quanti.

Quindi se il malware è in quei file non stare a diventare scemo, li sostituisci con quelli di un nuovo pacchetto.

Nel db non scrivi nulla con un bug quindi o l'hanno scritto a mano o il db è a posto. Se poi il malvare è js direi che il db con buona prob. è sano

Poi vengono le estensioni che hai installato... quelle lo sai tu se sono aggiornate e se lo sono dovrebbero essere a posto.

Poi vengono i "contenuti uppabili" foto, files etc.... quelli li devi controllare a manina.

oppure installa una nuova versione, installa tutte le estensioni e poi cambi i database.

PRIMA DI TUTTO metti in modalità provvisoria il pc e fai una scansione con almeno 2 antivirus.

Non c'è da dire più null'altro, c'è da non far casino e fare le cose pensando e magari prendendo appunti per poter tornare sui passi precedenti.... ma era già scritto tutto nell'articolo in evidenza....

M.

atlpaperino · « **Risposta #27 il:** 02 Lug 2012, 09:51:23 »

Ragazzi scusate forse ho fatto un pò di casino , nel darvi le indicazioni , ma lungi da me l'intezione di fare polemica ...

Dopo aver seguito i consigli di mau_develop( che spero di non aver interpretato male , hai scritto ver 2.5.6 ma forse intendevi 1.5.26 il mio sito non è aggiornato alla versione 2.5 ) e aver preso i file di una nuova intallazione e sovrascritti quelli sul server , e quello di Npaquito aver attivato i rapporto errori ( messo al massimo ) ,

problemi momentaneamente spariti :

- non si apre + l'alert dell'antivirus all'apertura del sito
- i menu nel baackend sono tornati di nuovo utilizzabili

Nuovo problema

- scegliendo un menu , dal menu a tendina "menu" ( scusate la ripetizione ) , vengono fuori i seguenti errori

Fatal error: Class 'JMenuAdministrator' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/joomla/application/menu.php on line 102

Fatal error: Class 'JLoader' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/loader.php on line 161

ho provato a cercare sul forum , ma tutte le discussioni non hanno una soluzione ( o almeno io non l'ho trovata )

Lo stesso errore viene fuori anche se tento di installare qualcosa da estensioni - installa/disinstalla

Spero di essere stato + chiaro questa volta

Grazie dell'aiuto
Ciao

atlpaperino · « **Risposta #28 il:** 05 Lug 2012, 13:12:35 »

Scusate se posto ancora , ma sono passati 3 giorni e nn ho ricevuto nessuna risposta ... e mi è sembrato strano ... so benissimo che non siete qui ad aspettare i miei problemi ..... volevo solo sapere se secondo voi ho fatto bene a continuare su questo post ( con lo steso oggetto) oppure sarebbe stato meglio aprirne uno nuovo visto che il problema è diventato un altro ?

Grazie ciao

Npaquito · « **Risposta #29 il:** 05 Lug 2012, 13:19:14 »

Hola

Citazione da: atlpaperino - 02 Lug 2012, 09:51:23

...
Fatal error: Class 'JMenuAdministrator' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/joomla/application/menu.php on line 102

Fatal error: Class 'JLoader' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/loader.php on line 161
...

Ma i file ci sono? se no li aggiungi
Comunque troverai altre discussioni su tema usando la funzione Ricerca

atlpaperino · « **Risposta #30 il:** 07 Lug 2012, 15:54:00 »

- I file ci sono
- Avevo gia fatto una ricerca , ma tutte le discussioni non hanno una soluzione , alcune indicano di rimettere i 2 file , ma questa operazione l'ho fatta almeno 2 volte senza nessun risultato , altre non hanno nessuna risposta

questi sono i passaggi che ho provato senza risultato

1 ho rimesso un vecchio salvataggio che ha riportato il sito alla versione 1.5.25
2 aggiornato il sito alla 1.5.26 attraverso il file Aggiornamento 1.5.26 a 1.5.26
3 Sovrascritto tutti i file del mio sito con quelli di una installazione di Joomla 1.5.26 nuova
4 ricaricato l'ultimo salvataggio ( versione 1.5.26)

Ho provato a vedere se il problema spariva dopo ogni passaggio , ma non e mai sparito

Ho provato a vedere cosa fosse scritto nei 2 file alle line indicate dall'errore ma non ci ho capito molto

Linea 102 del file menu.php

// Create a JPathway object
$classname = 'JMenu'.ucfirst($client);
$instance = new $classname($options);

line 161 del file loader

function __autoload($class)
{
if(JLoader::load($class)) {
return true;
}
return false;

Grazie a chi possa aiutarmi

Ciao Marco

tomtomeight · « **Risposta #31 il:** 07 Lug 2012, 16:00:15 »

Guarda che il passo 4 rende inutile tutti i passi precedenti.

atlpaperino · « **Risposta #32 il:** 07 Lug 2012, 16:07:39 »

cmq il problema , rimaneva anche dopo il passo 3 .... escusa e come avrei dovuto fare per riavere il sito aggiornato prima il 4 e poi il 3 ??

Grazie

tomtomeight · « **Risposta #33 il:** 07 Lug 2012, 16:12:39 »

Al passo 4 dici di ricaricare l'ultimo salvataggio tutto quello che fai prima è solo perdere tempo.

atlpaperino · « **Risposta #34 il:** 07 Lug 2012, 16:18:50 »

Ok .. l'ho fatto per vedere se in una fase intermedia il problema non si presentava ... ma non è stato così .. diciamo che ho perso un pò di tempo .. quindi cosa mi consigli per uscire dal problema ?

Grazie

mau_develop · « **Risposta #35 il:** 07 Lug 2012, 17:27:38 »

quell'errore non vuol dire che ti mancano quei files ma che in quei files ci sarà una richiesta di quella classe che non si trova.

Prendi un pacchetto nuovo e sovrascrivi i files.

M.

atlpaperino · « **Risposta #36 il:** 07 Lug 2012, 19:04:50 »

Ho seguito il tuo consiglio ma il problema rimane ,

Specifico bene cosa ho fatto per vedere se ho commesso un errore

- ho scaricato il pacchetto joomla 1.5.26
- l'ho decompresso in una cartella sul desktop
- attraverso ftp , ho fatto upload di tutti i file all' interno della cartella httpdocs

dove ho sbagliato ?

Grazie

mau_develop · « **Risposta #37 il:** 07 Lug 2012, 19:38:51 »

con cosa fai l'upload?
con quello che usi puoi controllare alla fine se qualcosa non viene copiato? ... così da escluderla come possibilità
Quello che viene copiato ha i permessi corretti?
Provato a fare una reimpostazione dei permessi col pannellino dell'hosting?
L'ambiente in cui sta joomla è adatto? ovvero lo sono le versioni di sw che lo fanno girare?

M.

atlpaperino · « **Risposta #38 il:** 07 Lug 2012, 19:59:22 »

o mamma .. si va sul difficile .. spero di essere in grado di rispondere in maniera corretta

upload : filezilla versione 3.5.3
tutti i file vengono copiati .. nessun errore di trasferimento
non so se i permessi sono corretti tiscrivo quelli che risultano da filezilla poi dimmi te se vanno bene

0755 cartelle
0644 file
0444 file configuration

L'ambiente , penso sia adatto visto , non posso scrivere l'host dove è appogiato il sito ma ha php 5 ( è questo che mi chiedevi)

Ciao e grazie

atlpaperino · « **Risposta #39 il:** 16 Lug 2012, 19:35:01 »

ciao mau .. scusa se ti importuno ancora .... devo considerare chiuso l'aiuto ? siccome ho visto che alla mia risposta non hai dato seguito

Grazie ancora dell'aiuto .. anche se per adeso non sono riuscito a risolvere il problema

Caio