Autore Topic: Aiuto! Virus? (Letto 9658 volte)

MGFC · « **il:** 05 Nov 2012, 18:46:18 »

ieri mi sono ritrovato con un virus sul mio sito: www. mgfc .it
il mio antivirus mi segnalava JS/Iframe su tutte le pagine ed in più non visualizzo più la scermata di accesso administrator (la pagina si apre ma è bianca)

mi sono scaricato il sito (ftp) lo ho fatto passare all'antivirus e l'ho ricaricato...

ora non individuo più virus sulle pagine ma continuo a non visualizzare la pagina di accesso administrator

qualche consiglio?

giovi · « **Risposta #1 il:** 05 Nov 2012, 22:33:35 »

ripristina un backup del tuo sito, aggiornalo all'ultima versione e cancella il link al sito che hai inserito nel primo post: se è ancora a rischio malware pregiudichi il pagerank di joomla.it

MGFC · « **Risposta #2 il:** 06 Nov 2012, 23:55:39 »

il problema è che non riesco ad accedere alla pagina administrator,
ho contattato il provider (aruba), ma questomi dice che è tutto a posto (non ci sono stati accessi sospetti e non c'è traccia di codice sospetto)

io ho di recente aggiornato alla 2.5.7 ed ho installato rsform pro ... ma non credo sia queso il problema...
... qualcuno può aiutarmi a ripristinare il backend? ho provato a vedere i vari file da ftp (cartella administrator) ma mi pare tutto a posto :-(

grazie
Mauro

giovi · « **Risposta #3 il:** 07 Nov 2012, 00:38:31 »

non c'è bisogno di accedere al backend per ripristinare un backup funzionante

MGFC · « **Risposta #4 il:** 07 Nov 2012, 09:54:10 »

già provato a ricaricare il backup (del servizio aruba) ma il problema rimane

giovi · « **Risposta #5 il:** 07 Nov 2012, 10:23:01 »

scusa ma il problema si verificava già prima dell'attacco?

MGFC · « **Risposta #6 il:** 08 Nov 2012, 10:35:02 »

no cantestualmente... infatti, non capisco

mi sono ritrovato una mattina che non accedevo più al backend e che l'antivirus mi bloccava uno script JS/iframe.

ho scaricato il sito tramite ftp l'ho pulito con lo stesso antivirus ed ora non lo segnala più, ma non accedo lo stesso al backend.

"non accedo" in realtà non è corretto perchè la pagina si apre ma è bianca.

.... mi sa che faccio prima a formatare tutto e ricominciare

giovi · « **Risposta #7 il:** 08 Nov 2012, 16:41:39 »

allora carica un backup precedente e risolvi il problema, non capisco dove sia l'intoppo per te

MGFC · « **Risposta #8 il:** 09 Nov 2012, 08:55:47 »

... non ho un back up precedente :-(

ci stavo lavorando da poco e ho solo il back up automatico on line, (ma anche ripristinando quello non cambia nulla)

... formatto e ricomincio... i contenuti non sono molti

unica cosa, pensavo che esistesse una qualche applicazione per riparare un joomla compromesso... mi chiedo perchè non la facciano.

giovi · « **Risposta #9 il:** 09 Nov 2012, 09:07:50 »

perchè si presume che un utente previdente abbia sempre un backup a disposizione. Joomla comunque offre anche sistemi per backup automatici, è l'utente o il sistema che decidono se usarli o meno.

Una prova che puoi fare è ricaricare la cartella administrator sovrascrivendo tutte le cartelle meno che components, modules e plugins, che poi sarebbe una sorta di "applicazione per riparare un joomla compromesso."...

Npaquito · « **Risposta #10 il:** 09 Nov 2012, 09:22:02 »

Hola

Se il sito è mgfc.it a me non risulta con malware (dica il tuo anti virus quello che dica), per tanto io cercherei di guardare da un'altra parte, prova ad attivare il debug (se non puoi accedere dall'admin abilitalo dal configuration.php) e guarda che errori ti da.

MGFC · « **Risposta #11 il:** 09 Nov 2012, 09:27:08 »

provo il debug dal database ed anche a sovrascrivere le cartelle, vi faccio sapere

il malware l'ho tolto io con l'antivirus di casa (dopo aver scaricato tutto in ftp)

MGFC · « **Risposta #12 il:** 09 Nov 2012, 09:55:53 »

sostituite le cartelle ... non è cambiato niente...

come faccio a fare il debug del DB?

sono entrato nel pannello di controllo ma non ho trovato niente di simile

giovi · « **Risposta #13 il:** 09 Nov 2012, 10:02:19 »

non conosco bene la struttura dell'accesso al backend ma potrebbe trattarsi anche di un malfunzionamento del componente quindi puoi provare anche a sostituire solo le cartelle all'interno della cartella administrator/components (non tutta la cartella perchè altrimenti perderesti i componenti installati successivamente) sostituendo appunto solo quelli che sono presenti nel pacchetto di installazione. In questo modo se il problema era un file corrotto ora dovresti riuscire a veder quantomeno la schermata di accesso. I permessi ovviamente si da per scontato che siano stati tutti settati correttamente

MGFC · « **Risposta #14 il:** 09 Nov 2012, 10:05:38 »

ho sostituito tutto ma niente: la pagina si apre ma è completamente bianca
http://www.mgfc.it/administrator/index.php

giovi · « **Risposta #15 il:** 09 Nov 2012, 10:08:19 »

riprova cortesemente a cambiare i permessi a 644 per tutti i file e 755 per le cartelle

MGFC · « **Risposta #16 il:** 09 Nov 2012, 10:17:52 »

sono tutti 755... se metto 644 non accedo più aala pagina

giovi · « **Risposta #17 il:** 09 Nov 2012, 10:24:43 »

cosa vuol dire non accedi più alla pagina se metti 644? Ma il problema non era che non accedevi neanche prima?

Ok, quell'errore la vuol dire che i permessi non sono settati bene. Joomla chiede i permessi a 644 per tutti i file anche quelli nelle sottocartelle e 755 per tutte le cartelle. Riprova a farlo. Che client usi per modificare i permessi?

"More information about this error may be available in the server error log." Puoi verificare?

giovi · « **Risposta #18 il:** 09 Nov 2012, 10:28:59 »

allora ho verificato: il tuo provider ha tra le impostazioni del pannello di controllo una opzione "ripristina permessi file". Usa quella per portare file e cartelle alle giuste permissions

Npaquito · « **Risposta #19 il:** 09 Nov 2012, 10:44:14 »

Hola

Citazione da: MGFC - 09 Nov 2012, 09:55:53

come faccio a fare il debug del DB?

Vai al configuration.php, cerchi $debug = '0'; e sostituisci lo 0 per 1

MGFC · « **Risposta #20 il:** 09 Nov 2012, 13:03:38 »

i permessi li modifico con filezilla... ora provo
provo anche il debug

giovi · « **Risposta #21 il:** 09 Nov 2012, 13:21:11 »

ok. filezilla ed il tuo hosting non vanno sempre tanto d'accordo. usa quella funzione, è più sicura

MGFC · « **Risposta #22 il:** 09 Nov 2012, 13:57:15 »

provato dal hosting: rimette tutto su 755
allora ho fatto da file zillaora tutti i file sono 644 e tutte le cartelle sono 755: ma ora non si apre più nemmeno il sito

MGFC · « **Risposta #23 il:** 09 Nov 2012, 13:58:33 »

se metto tutto 755 funziona tutto: ma la pagina backend è bianca (si apre ma è bianca)

MGFC · « **Risposta #24 il:** 09 Nov 2012, 14:06:55 »

Citazione da: Npaquito - 09 Nov 2012, 10:44:14

Hola
Vai al configuration.php, cerchi $debug = '0'; e sostituisci lo 0 per 1

il file configuration.php nella cartella principale del sito?

MGFC · « **Risposta #25 il:** 09 Nov 2012, 14:13:29 »

GRANDISSIMO!!!!!!!!!!!!!!!!!!!!

ha funzionato!!!!!

è bastato mettere l'uno!!!!

Grazie infinite!!!!!

qualcuno sa spiegarmi cosa era successo!

PS ho notato che ora sono cambiati i permessi dei file alcuni su 755 altri 644

giovi · « **Risposta #26 il:** 09 Nov 2012, 14:45:34 »

si erano semplicemente modificati i permessi ed ora sono stati rimessi apposto.
Il debug serve solo a capire cosa sta succedendo: una volta risolto il problema il debug devi disattivarlo, non puoi lasciarlo così! altrimenti sarà visibile anche nel frontend...

"Mettere l'uno" non è una soluzione ai problemi di joomla ma l'unico metodo per eseguire il debug in caso di problemi col backend. In questi casi andrebbe infatti messo anche offline il sito...

MGFC · « **Risposta #27 il:** 11 Nov 2012, 18:09:36 »

se tolgo l'uno non entro più!

giovi · « **Risposta #28 il:** 11 Nov 2012, 21:17:16 »

allora devi esaminare bene ciò che viene fuori dal debug e risolvere il problema, quindi ripristinare la situazione: non puoi lasciare che i visitatori si impiccino degli affari del tuo server!

MGFC · « **Risposta #29 il:** 12 Nov 2012, 00:00:23 »

ci ho provato, ma per me è turco

MGFC · « **Risposta #30 il:** 12 Nov 2012, 10:18:55 »

e in più mi sono accorto che anche se accedo al back end non mi fa creare nuovi articoli e categorie

Warning: require_once(/web/htdocs/www.mgfc.it/home/plugins/cck_field_validation/required/required.php) [function.require-once]: failed to open stream: No such file or directory in /web/htdocs/www.mgfc.it/home/libraries/cck/base/form/form_inc.php on line 128

Fatal error: require_once() [function.require]: Failed opening required '/web/htdocs/www.mgfc.it/home/plugins/cck_field_validation/required/required.php' (include_path='.:/php5/lib/php/') in /web/htdocs/www.mgfc.it/home/libraries/cck/base/form/form_inc.php on line 128

forse io non sono troppo pratico, ma mi pare che la cartella home non esista!!!

MGFC · « **Risposta #31 il:** 12 Nov 2012, 10:32:59 »

Risolto!!!
era una maledetta applicazione che faceva un macello
ora riprovo a riuovere il backup

MGFC · « **Risposta #32 il:** 12 Nov 2012, 10:36:12 »

niente senza l'uno non si entra...
ma almeno ora funziona tutto

Sansoweb · « **Risposta #33 il:** 12 Nov 2012, 16:27:58 »

Ciao scusate se entro nel discorso... ma oggi sul forum mi sembra di vedere lo stesso problema ripetuto...
hai controllato all'interno del file index.php del sito? non è che hai qualche codice strano?
se fosse così potresti avere anche tu un virus sul pc... e in automatico se nn lo elimini, caricando il backup re-infetti il codice... prova a dare un'occhiata. anche perchè se ti vuole aprire uno script... mhhh

MGFC · « **Risposta #34 il:** 12 Nov 2012, 23:16:16 »

il file index l'ho controllato (per quello che ne so io è ok), il cp l'ho passato con 3 antivirus e così anche il siro (scaricato in locale e ricaricato)