Autore Topic: Aiuto! Virus? (Letto 9659 volte)

MGFC · « **il:** 05 Nov 2012, 18:46:18 »

ieri mi sono ritrovato con un virus sul mio sito: www. mgfc .it
il mio antivirus mi segnalava JS/Iframe su tutte le pagine ed in più non visualizzo più la scermata di accesso administrator (la pagina si apre ma è bianca)

mi sono scaricato il sito (ftp) lo ho fatto passare all'antivirus e l'ho ricaricato...

ora non individuo più virus sulle pagine ma continuo a non visualizzare la pagina di accesso administrator

qualche consiglio?

giovi · « **Risposta #1 il:** 05 Nov 2012, 22:33:35 »

ripristina un backup del tuo sito, aggiornalo all'ultima versione e cancella il link al sito che hai inserito nel primo post: se è ancora a rischio malware pregiudichi il pagerank di joomla.it

MGFC · « **Risposta #2 il:** 06 Nov 2012, 23:55:39 »

il problema è che non riesco ad accedere alla pagina administrator,
ho contattato il provider (aruba), ma questomi dice che è tutto a posto (non ci sono stati accessi sospetti e non c'è traccia di codice sospetto)

io ho di recente aggiornato alla 2.5.7 ed ho installato rsform pro ... ma non credo sia queso il problema...
... qualcuno può aiutarmi a ripristinare il backend? ho provato a vedere i vari file da ftp (cartella administrator) ma mi pare tutto a posto :-(

grazie
Mauro

giovi · « **Risposta #3 il:** 07 Nov 2012, 00:38:31 »

non c'è bisogno di accedere al backend per ripristinare un backup funzionante

MGFC · « **Risposta #4 il:** 07 Nov 2012, 09:54:10 »

già provato a ricaricare il backup (del servizio aruba) ma il problema rimane

giovi · « **Risposta #5 il:** 07 Nov 2012, 10:23:01 »

scusa ma il problema si verificava già prima dell'attacco?

MGFC · « **Risposta #6 il:** 08 Nov 2012, 10:35:02 »

no cantestualmente... infatti, non capisco

mi sono ritrovato una mattina che non accedevo più al backend e che l'antivirus mi bloccava uno script JS/iframe.

ho scaricato il sito tramite ftp l'ho pulito con lo stesso antivirus ed ora non lo segnala più, ma non accedo lo stesso al backend.

"non accedo" in realtà non è corretto perchè la pagina si apre ma è bianca.

.... mi sa che faccio prima a formatare tutto e ricominciare

giovi · « **Risposta #7 il:** 08 Nov 2012, 16:41:39 »

allora carica un backup precedente e risolvi il problema, non capisco dove sia l'intoppo per te

MGFC · « **Risposta #8 il:** 09 Nov 2012, 08:55:47 »

... non ho un back up precedente :-(

ci stavo lavorando da poco e ho solo il back up automatico on line, (ma anche ripristinando quello non cambia nulla)

... formatto e ricomincio... i contenuti non sono molti

unica cosa, pensavo che esistesse una qualche applicazione per riparare un joomla compromesso... mi chiedo perchè non la facciano.

giovi · « **Risposta #9 il:** 09 Nov 2012, 09:07:50 »

perchè si presume che un utente previdente abbia sempre un backup a disposizione. Joomla comunque offre anche sistemi per backup automatici, è l'utente o il sistema che decidono se usarli o meno.

Una prova che puoi fare è ricaricare la cartella administrator sovrascrivendo tutte le cartelle meno che components, modules e plugins, che poi sarebbe una sorta di "applicazione per riparare un joomla compromesso."...

Npaquito · « **Risposta #10 il:** 09 Nov 2012, 09:22:02 »

Hola

Se il sito è mgfc.it a me non risulta con malware (dica il tuo anti virus quello che dica), per tanto io cercherei di guardare da un'altra parte, prova ad attivare il debug (se non puoi accedere dall'admin abilitalo dal configuration.php) e guarda che errori ti da.

MGFC · « **Risposta #11 il:** 09 Nov 2012, 09:27:08 »

provo il debug dal database ed anche a sovrascrivere le cartelle, vi faccio sapere

il malware l'ho tolto io con l'antivirus di casa (dopo aver scaricato tutto in ftp)

MGFC · « **Risposta #12 il:** 09 Nov 2012, 09:55:53 »

sostituite le cartelle ... non è cambiato niente...

come faccio a fare il debug del DB?

sono entrato nel pannello di controllo ma non ho trovato niente di simile

giovi · « **Risposta #13 il:** 09 Nov 2012, 10:02:19 »

non conosco bene la struttura dell'accesso al backend ma potrebbe trattarsi anche di un malfunzionamento del componente quindi puoi provare anche a sostituire solo le cartelle all'interno della cartella administrator/components (non tutta la cartella perchè altrimenti perderesti i componenti installati successivamente) sostituendo appunto solo quelli che sono presenti nel pacchetto di installazione. In questo modo se il problema era un file corrotto ora dovresti riuscire a veder quantomeno la schermata di accesso. I permessi ovviamente si da per scontato che siano stati tutti settati correttamente

MGFC · « **Risposta #14 il:** 09 Nov 2012, 10:05:38 »

ho sostituito tutto ma niente: la pagina si apre ma è completamente bianca
http://www.mgfc.it/administrator/index.php

giovi · « **Risposta #15 il:** 09 Nov 2012, 10:08:19 »

riprova cortesemente a cambiare i permessi a 644 per tutti i file e 755 per le cartelle

MGFC · « **Risposta #16 il:** 09 Nov 2012, 10:17:52 »

sono tutti 755... se metto 644 non accedo più aala pagina

giovi · « **Risposta #17 il:** 09 Nov 2012, 10:24:43 »

cosa vuol dire non accedi più alla pagina se metti 644? Ma il problema non era che non accedevi neanche prima?

Ok, quell'errore la vuol dire che i permessi non sono settati bene. Joomla chiede i permessi a 644 per tutti i file anche quelli nelle sottocartelle e 755 per tutte le cartelle. Riprova a farlo. Che client usi per modificare i permessi?

"More information about this error may be available in the server error log." Puoi verificare?

giovi · « **Risposta #18 il:** 09 Nov 2012, 10:28:59 »

allora ho verificato: il tuo provider ha tra le impostazioni del pannello di controllo una opzione "ripristina permessi file". Usa quella per portare file e cartelle alle giuste permissions

Npaquito · « **Risposta #19 il:** 09 Nov 2012, 10:44:14 »

Hola

Citazione da: MGFC - 09 Nov 2012, 09:55:53

come faccio a fare il debug del DB?

Vai al configuration.php, cerchi $debug = '0'; e sostituisci lo 0 per 1