"Salva" in area amm.va non funziona dopo rimozione malware/virus

[tluigi]

Ciao,
come da titolo dopo rimozione malware da parte del provider il salvataggio in area amm.va non funziona più.
Premetto che ho dovuto inviargli io il DB perchè quello del loro BackUp era rovinato.
In seguito a ciò mi ritrovo con un sito aggiornato ad un mese fa, ma che non posso neanche riaggiornare.
Inoltre quando cerco di entrare in un articolo, (premetto che usavo JCE) mi compare il messaggio reference Editor: WFEditor is not defined
Il provider mi ha scritto che non sa come risolvere e chiede a me suggerimenti ?!?!, pensate che con una nuova installazione di Joomla 2.5.7 si possa ripristinare il tutto? Avete suggerimenti da dare al provider?
Grazie 1000

[nettuno75]

Senza offesa ma....
La primissima cosa che mi viene da dire " CAMBIA IMMEDIATAMETE PROVIDER"
trovo assurdo che non vi siete mai preoccupati di effettuare un bakup del sito e del database. (almeno una volta al mese).
e comunque a questo punto sono parole al vento .
Puoi linkare il sito?
che versione di joomla hai (proviamo a tentare l'impossibile tanto a questo punto non vedo altra soluzione)
con un sito funzionante per metà ed un database vecchissimo la vedo dura.

[tluigi]

Ciao, grazie per l'interessamento
si appena riesco a risolvere cambio subito provider.
Per il backup    hai ragione, ma sbagliando si impara


il sito è www.crimerate.it
la versione è l'ultima 2.5.7




grazie

[mau_develop]

vado un po' a memoria quindi vedi se riesci a capire...
con quello che sai usare
se vai nel database -> estensioni dovresti trovare delle righe plg_editors_tinymce, none,codemirror questi devono essere enabled 1
lascia perdere tutti gli editor-xtd gli altri editors mettili a enabled 0
se vedi un plg col titolo tipo WFEditor mettilo a enabled 0 e così pure JCE

verifica che siano enabled

poi scarica un pacchetto 2.5.7 nuovo, decomprimilo, e sovrascrivi la cartella administrator con quella nuova del pacchetto.
questo ti consiglio di farlo con filezilla

... vedi che succede

[nettuno75]

caspita 2.5.7 non ci voleva è l'ultima ma tentiamo lo stesso,
puoi mettere il sito online? voglio vedere se hai ancora qualche script o qualcosa di anomalo nel template.
Cosa puoi tentare?
passo 1 puoi verificare se nel tuo index php del template ci sono ancora script malevoli.
passo 2 puoi sovrascrivere il template in uso ( esempio se il tuo template si chiama xx dovrai sovrascriverlo con lo stesso template xx,)
sovrascrivere (e non effettuare una nuova installazione) di joomla 2.5.7
http://www.joomla.it/component/rokdownloads/downloads/versioni-di-joomla/joomla-2/519-aggiornamento-da-joomla-2-5-x-a-joomla-2-5.html
accedi dal tuo server ftp,scompatta il file e fai l'upload del contenuto.
Ripeto la vedo dura ma proviamo comunque.

[tluigi]

@mau_develop
prima di fare ulteriori danni, provo a girare le tue indicazioni al provider, vediamo se così riesce a venirne a capo.

@nettuno75
il sito è già online http://www.crimerate.it
per la index ora provo a verificare
per il discorso template + joomla, lo lascerei come ultima spiaggia.


grazie grazie ad entrambi

[nettuno75]

per il discorso template + joomla, lo lascerei come ultima spiaggia.

Quando un malware attacca qual'è la prima cosa che danneggia?
esattamente il template! e dove pensi che scriva il suo codice malevolo?
esattamente nel file index.php del template.
quindi va considerata come primissima soluzione per verificare se ancora il malware è presente.
per il resto trovo difficile che un malware possa essere arrivato alla cartella di amministrazione senza intoppi.
hai la possibilità di creare un nuovo amministratore?(eliminando il vecchio?)
magari cambiando ID dell'admin funziona......

[tluigi]

Ho verificato l'index.php (mai visto script malevoli) ma per ciò che vedo mi sembra normale.
Per il cambio amministratore, l'unico modo che conosco è dall'area amm.va ma a quel punto mi si ripresenterebbe il problema del salvataggio, hai altre modalità da consigliarmi?


Vediamo se il provider domani mi risponde, per ora ci dormo su
grazie ancora

[mau_develop]

Quando un malware attacca qual'è la prima cosa che danneggia?
esattamente il template! e dove pensi che scriva il suo codice malevolo?
esattamente nel file index.php del template.
---------------------------------------------------------------
quindi i siti senza template non vengono attaccati?
la tua convinzione è sbagliata, a volte quali file iniettare è una scelta e si scelgono i più opportuni e soprattutto mai uno solo ma il codice viene distribuito, a volte dipende dai privilegi che riesci ad ottenere sul server, a volte il malware ce l'hai tu nel pc e sei tu che con un ftp carichi il codice dannoso.
Se il sito è vulnerabile può darsi che non sia un malware ma qualcuno che l'ha bucato e potresti avere backdoor oppure non c'è nessun malware ed è solo un iniezione a scopo di spam.

attraverso un forum ome fai a stabilire tutto questo? ... e soprattutto chettifrega quando puoi con un po di perizia sovrascrivere tutto?

M.

[nettuno75]

quindi i siti senza template non vengono attaccati?

Assolutamente no!
non mi sono spiegato forse bene!
innanzitutto trovo impossibile che qualche hacker si diverta a bucare un sito di volontariato o cumuni siti web per puro divertimento di danneggiare,(figurati quelli veri non ci perdono nemmeno tempo) e comunque non mirerebbero mai a questi scopi.
Poi ci sono dei boot maligni che sfruttano la maggiorparte dei plugin java (più facilmente vulnerabili) per iniettare il codice malevolo..
quindi se è uno spammer,e vuole iniettare il codice maligno,cercherà di fare l'inject nel template(index.php) dove sia ben visibile e non gli interessa affatto danneggiare l'intero sito web o la cartella admin,andrebbe contro i suoi interessi..
ho risolto moltissimi casi di malware,la maggiorparte di questi mi e bastato eliminare e rimettere lo stesso template.
se sovrasrivi joomla, ed il malware ha scritto nell index.php del template questo non si rimuove..
Concordi?
com più probabilità credo si tratti di un inject a scopo di spam.
per il resto hai perfettamente ragione,lui stesso potrebbe aver iniettato il codice malevolo ( sinceramente non sono molto convinto di qust'ultima opziopne "ma nulla è impossibile")

[mau_develop]

innanzitutto trovo impossibile che qualche hacker si diverta a bucare un sito di volontariato
-------------------------------------------------
su che basi?

Poi ci sono dei boot maligni che sfruttano la maggiorparte dei plugin java (più facilmente vulnerabili) per iniettare il codice malevolo..
------------------------------------------------------------------------------------------
...concetto strano... innanzitutto javascript... che è diverso da java... poi javascript è client.. a chi li inietti?... al tuo browser

quindi se è uno spammer,e vuole iniettare il codice maligno,cercherà di fare l'inject nel template(index.php) dove sia ben visibile e non gli interessa affatto danneggiare l'intero sito web o la cartella admin,andrebbe contro i suoi interessi..
ho risolto moltissimi casi di malware,la maggiorparte di questi mi e bastato eliminare e rimettere lo stesso template.
se sovrasrivi joomla, ed il malware ha scritto nell index.php del template questo non si rimuove..
Concordi?
-------------------------------------
no che non concordo...
se il tuo obbiettivo sono tutti i files che trovi su un server non tutti usano joomla quindi costruire un automatismo che vada a cercare un file particolare e da bamba e usa risorse per vedere se c'è... meglio una serie di richieste blind a file e posizioni comunemente in uso  ... molti cms hanno files in comune e cms o no hai comunque uno o più index.

per il resto hai perfettamente ragione,lui stesso potrebbe aver iniettato il codice malevolo ( sinceramente non sono molto convinto di qust'ultima opziopne "ma nulla è impossibile")
--------------------------------------------------------------------------------
visiti un sito malevolo che sfrutta una falla del tuo browser e puff... tutto ciò che esce passa prima da dove dice lui... perchè impossibile? ... direi che è una delle più probabili.

Se il server (cpanel) non è vulnerabile e si parla esclusivamente di joomla, quell'iniezione di codice la riesci tranquillamente a fare con un JCE non aggiornato o con JA-Purity prima versione

M.

[nettuno75]

su che basi?

non è nella loro indone fare di queste cose ( e sopratutto a questa categoria di siti volontariato,comunity,sociale) o perlomeno mi auguro sinceramente che non siano scesi cosi in basso da prendersela con noi poveracci.
non siamo (facebook,google,microsoft sony ecc ecc  li hanno interesse ad agire)
Per il resto mi rimane qualche perplessità personale ( che non credo si debba discutere qui ) mà concordo appieno con quello che hai scritto.

[mau_develop]

non è nella loro
---------------------
loro chi? ... sai chi è stato?

M.

[nettuno75]

Mi riferivo agli hacker in generale.
E comunque come potrei sapere chi è stato?

[tluigi]

vado un po' a memoria quindi vedi se riesci a capire...
con quello che sai usare
se vai nel database -> estensioni dovresti trovare delle righe plg_editors_tinymce, none,codemirror questi devono essere enabled 1
lascia perdere tutti gli editor-xtd gli altri editors mettili a enabled 0
se vedi un plg col titolo tipo WFEditor mettilo a enabled 0 e così pure JCE

verifica che siano enabled

poi scarica un pacchetto 2.5.7 nuovo, decomprimilo, e sovrascrivi la cartella administrator con quella nuova del pacchetto.
questo ti consiglio di farlo con filezilla

... vedi che succede

Grazie perchè il provider ha sistemato la parte del salvataggio che ora funziona.
Ciò che ne io ne loro capiamo è come sistemate JCE sulla base di quanto da te indicato, al momento ho risolto abilitandne tinymce, ma sappiamo tutto che....

Saresti così gentile da spiegarmi meglio come risolvere? (In maniera terra terra?)
E se lo installassi nuovamente?