sito hakerato come ripristinarlo

[fabiana]

oggi ho trovato il mio sito hakerato  come faccio a ripristinarlo?
Hackeado por HighTech Brazil HackTeam
 No\One - CrazyDuck - Otrasher
ho una versione di joomla 1.5 (faccio mea culpa) ma non credevo fosse necessario aggiornarla ( in piu non sono proprio un fenomeno a fare queste cose)...qualcuno mi aiuta a ripristinarlo?
grazie mille

[BelinBelan]

Era già capitato nel 2008...
 
http://forum.joomla.org/viewtopic.php?f=432&t=784191
 
Qui trovi qualche info... utile..

[fabiana]

allora mi rendo conto entrando con l'ftp che mi hanno aggiunto o cambiato dei files:

xk.tht
index.php (cancellato)...posso ripristinare dall'ultimo backup?
ck.htm ( non so cosa sia ma c'è la solita frase dell'haker)
nella cartella temp ci sono 2 files: index.html/ck.htm ( si possono cancellare?)
nella cartella cache ci sono sempre questi 2 files nuovi o modificati index.html/ck.htm
nella cartella images c'è sempre un file ck.htm
la cartella sories me la segnala come modificata ma dentro tra i file non trovo nulla....

che faccio?
visto che l'ultimo backup è un po' datato vorrei se possibile ripristinare solo i file necessari.
Grazie in anticipo
il sito è www.omnesartes.it ( si puo' scrivere?)

[mau_develop]

oltre  il pacchetto joomla cosa avevi installato / cambiato?
che versione di joomla era?

[fabiana]

joomla 1.5.15
avevo installato akeeba, flexicontent,jce,oziogallery come componenti e aidanews, imagemenu e qualche modulino cosi'...

[mau_develop]

mmhhh no troppa roba...

dovresti provare a scaricare tutto nelle stesse versioni reinstallare in locale e poi provare a cambiare i database.
L'alternativa è riuscire a ripulire e far funzionare ciò che hai fino a poterlo gestire... ma non è robetta ...

[fabiana]

e se reinstallo il file index.phpdall'altumo back up? e quei files li cancello semplicemente?

[mau_develop]

visto che l'ultimo backup è un po' datato vorrei se possibile ripristinare solo i file necessari.
------------------------------------------------
ah.. ok... scusa ma mi era scappata....

si, direi di si,

scarica tutti i files in una cartella in locale, tienila sulla scrivania, non la aprire ne spostare in giro.
cancella tutti i files e cartelle di joomla in remoto
fai delle belle scansioni antivirus almeno due av
poi copia i files del backup... se non hai mai fatto aggiornamenti ne installato altro nel frattempo dovrebbe funzionare tutto.

il database lascialo perdere, se non funziona ci si pensa dopo

potrebbero mancare immagini etc che ti conviene copiare una ad una... non toccare nulla di cui non sei certa sia di tua proprietà... altrimenti potrebbe ripartire "il giro"

[fabiana]

l'ultimo backup risale al 2011 (purtroppo non sono io che ha gestito il sito ma cerco solo di risolvere i danni),
nel frattempo il sito ha avuto un'evoluzione che non vorrei perdere...che faccio scarico tutto sul mio pc e poi quello che manca lo aggiungo in ftp?

[mau_develop]

credo che l'unico modo sia o rifare tutto o affidarsi a un amico competente che sul posto risolve il problema, non mi sento di andare oltre con i consigli

[fabiana]

ok grazie comunque...comunque che infamata ragazzi, il mio era solo un piccolo sito per promuovere degli spettacoli teatrali...c'è gente che sa solo distruggere, già è cosi difficile...

[fabiana]

ho risolto sostituendo il file che mi avevano modificato  index.php con uno nuovo...rimane solo da capire cosa fare con gli altri file che mi hanno generato....qualcuno ha delle idee?

[epoe]

ciao,
m'intrometto perché il simpaticone che ha attaccato il sito di fabiana se l'è presa anche con il mio oggi pomeriggio.
Confermo quanto scritto da lei per quel che riguarda i file ck.htm e index.htm nella root e nelle cartelle indicate. Inoltre ho trovato un file xxu.php nella cartella images. Sto confrontando i file in remoto con quelli di un backup della settimana scorsa per capire cosa è successo prima di copiare tutto. Ma da quando questo bel tipo ha fatto la sua mossa il sito continua a darmi errore 500 internal server.
Inoltre qualche tempo fa il sito era già stato hacerato da un altro simpaticone, il file configuration.php era stato modificato e pure l'index e non potevo accedere nemmeno nel lato amministrativo, stavolta invece vi accedo.
Fabiana io comunque i file ck li ho cancellati e gli index.htm li ho sostituiti con quelli del buckup, inoltre
ho ripristinato i file index.php htaccess configuration e tutti gli altri della root ma x me la storia non cambia  
ora sto continuando a spulciare..
voi avete qualche idea?
grazie in anticipo a chiunque possa darmi una dritta.
ciaooooooooooooooooooooo

[fabiana]

ciao
allora i file ck.htm,xk.txt mi pare di capire che servano solo a far apparire la scritta ma che non siano molto pericolosi...ora li cancello anch'io; ho trovato anch'io il file xxu.php ma cos'è? si puo' togliere senza rischi credi? sembra esattamente quello che è successo a me strano che sostituendo i file modificati non te lo ripristini, guarda bene sulle date se non ti sei perso qualche file modificato anche nelle cartelle....magari è quello. la cartella stories te l'ha modificata? a me dalla date e dall'ora sembrerebbe di si ma dentro non ho trovato nulla....strano....

[epoe]

ciao,
ho controllato tutto ma non ci sono altri file strani..
il file xxu.php l'ho rimosso perché è stato inserito nell'esatto momento di tutti gli altri ck.htm e index ma comunque non ho ottenuto nessun risultato...

[epoe]

solo x dire che sono riuscito a risolvere il tutto e per dare una mano a chi si trova ad avere il mio stesso problema.
Dov'era l'inghippo?
I permessi.
Chi ha hackerato il sito aveva modificato i permessi di alcuni file tra cui il configuration.php impedendo di riscrivere i file da backup.


adesso posso anche andare a dormire


caioooooooooooooooooooooooooooooooooooo oooooooooooooooo

[banzaibull]

Ciao....

Stessa cosa anche a me....

Mi spieghi esattamente cosa va cancellato e cosa ripristinato?

Bye.

[epoe]

Ciao,
allora io ho cancellato tutti i file ck.htm e index.htm sia nella root che nelle altre cartelle in cui anche fabiana li ha trovato ( images, chace, ecc... vedi sopra), ti puoi aiutare guardando le date in cui le cartelle sono state modificate.
Inoltre ho cancellato anche il file uux.php nella cartella images. NOn ho capito il suo scopo ma nei precedenti backup non c'è ed è stato modificato nell'esatta data ed ora in cui il sito è stato hackerato.
fatto questo con filezilla ( ftp ) ho cambiato i permessi del file configuration.php che erano stati settati a 644 ( quindi non riscrivibili ) e li ho impostati a 755.
poi ho ripreso il configuration.php da un mio backup e l'ho sovrascritto ( prima non lo potevo fare e non me ne ero accorto    )
una volta fatto ho messo di nuovo i permessi a 444 sul file.


Nota.
Leggendo in giro mi sembra di aver capito che c'è una falla nel template ja_purity, io l'ho cancellato e nelle vecchie versioni di JCE quindi va aggiornato.


Prova e facci sapere.


ciaoooooooooooooooooooooooooooooooo

[fabiana]

ho scritto al mio hoster,**** e mi hanno risposto che non serve cambiare la password ftp ma effettivamente questo problema nasce da una falla di JCE su joomla1.5 che va aggiornato.
Domanda: posso mettere l'ultima versione di jce su joomla1.5?
 
edited by tt8: rimosso riferimento commerciale.

[epoe]

la versione 2.3.2 è compatibile con j 1.5 quindi si, puoi aggiornare