Autore Topic: sito hakerato come ripristinarlo (Letto 14402 volte)

fabiana · « **il:** 22 Gen 2013, 17:31:59 »

oggi ho trovato il mio sito hakerato

come faccio a ripristinarlo?
Hackeado por HighTech Brazil HackTeam
No\One - CrazyDuck - Otrasher
ho una versione di joomla 1.5 (faccio mea culpa) ma non credevo fosse necessario aggiornarla ( in piu non sono proprio un fenomeno a fare queste cose)...qualcuno mi aiuta a ripristinarlo?

grazie mille

BelinBelan · « **Risposta #1 il:** 22 Gen 2013, 17:39:01 »

Era già capitato nel 2008...

http://forum.joomla.org/viewtopic.php?f=432&t=784191

Qui trovi qualche info... utile..

fabiana · « **Risposta #2 il:** 22 Gen 2013, 18:21:32 »

allora mi rendo conto entrando con l'ftp che mi hanno aggiunto o cambiato dei files:

xk.tht
index.php (cancellato)...posso ripristinare dall'ultimo backup?
ck.htm ( non so cosa sia ma c'è la solita frase dell'haker)
nella cartella temp ci sono 2 files: index.html/ck.htm ( si possono cancellare?)
nella cartella cache ci sono sempre questi 2 files nuovi o modificati index.html/ck.htm
nella cartella images c'è sempre un file ck.htm
la cartella sories me la segnala come modificata ma dentro tra i file non trovo nulla....

che faccio?
visto che l'ultimo backup è un po' datato vorrei se possibile ripristinare solo i file necessari.
Grazie in anticipo
il sito è www.omnesartes.it ( si puo' scrivere?)

mau_develop · « **Risposta #3 il:** 22 Gen 2013, 19:27:02 »

oltre il pacchetto joomla cosa avevi installato / cambiato?
che versione di joomla era?

fabiana · « **Risposta #4 il:** 22 Gen 2013, 21:41:50 »

joomla 1.5.15

avevo installato akeeba, flexicontent,jce,oziogallery come componenti e aidanews, imagemenu e qualche modulino cosi'...

mau_develop · « **Risposta #5 il:** 22 Gen 2013, 21:54:18 »

mmhhh no troppa roba...

dovresti provare a scaricare tutto nelle stesse versioni reinstallare in locale e poi provare a cambiare i database.
L'alternativa è riuscire a ripulire e far funzionare ciò che hai fino a poterlo gestire... ma non è robetta ...

fabiana · « **Risposta #6 il:** 22 Gen 2013, 21:56:26 »

e se reinstallo il file index.phpdall'altumo back up? e quei files li cancello semplicemente?

mau_develop · « **Risposta #7 il:** 22 Gen 2013, 22:24:43 »

visto che l'ultimo backup è un po' datato vorrei se possibile ripristinare solo i file necessari.
------------------------------------------------
ah.. ok... scusa ma mi era scappata....

si, direi di si,

scarica tutti i files in una cartella in locale, tienila sulla scrivania, non la aprire ne spostare in giro.
cancella tutti i files e cartelle di joomla in remoto
fai delle belle scansioni antivirus almeno due av
poi copia i files del backup... se non hai mai fatto aggiornamenti ne installato altro nel frattempo dovrebbe funzionare tutto.

il database lascialo perdere, se non funziona ci si pensa dopo

potrebbero mancare immagini etc che ti conviene copiare una ad una... non toccare nulla di cui non sei certa sia di tua proprietà... altrimenti potrebbe ripartire "il giro"

fabiana · « **Risposta #8 il:** 22 Gen 2013, 22:47:40 »

l'ultimo backup risale al 2011 (purtroppo non sono io che ha gestito il sito ma cerco solo di risolvere i danni),
nel frattempo il sito ha avuto un'evoluzione che non vorrei perdere...che faccio scarico tutto sul mio pc e poi quello che manca lo aggiungo in ftp?

mau_develop · « **Risposta #9 il:** 22 Gen 2013, 22:53:57 »

credo che l'unico modo sia o rifare tutto o affidarsi a un amico competente che sul posto risolve il problema, non mi sento di andare oltre con i consigli

fabiana · « **Risposta #10 il:** 22 Gen 2013, 22:56:00 »

ok grazie comunque...comunque che infamata ragazzi, il mio era solo un piccolo sito per promuovere degli spettacoli teatrali...c'è gente che sa solo distruggere, già è cosi difficile...

fabiana · « **Risposta #11 il:** 22 Gen 2013, 23:21:42 »

ho risolto sostituendo il file che mi avevano modificato index.php con uno nuovo...rimane solo da capire cosa fare con gli altri file che mi hanno generato....qualcuno ha delle idee?

epoe · « **Risposta #12 il:** 22 Gen 2013, 23:29:36 »

ciao,
m'intrometto perché il simpaticone che ha attaccato il sito di fabiana se l'è presa anche con il mio oggi pomeriggio.
Confermo quanto scritto da lei per quel che riguarda i file ck.htm e index.htm nella root e nelle cartelle indicate. Inoltre ho trovato un file xxu.php nella cartella images. Sto confrontando i file in remoto con quelli di un backup della settimana scorsa per capire cosa è successo prima di copiare tutto. Ma da quando questo bel tipo ha fatto la sua mossa il sito continua a darmi errore 500 internal server.
Inoltre qualche tempo fa il sito era già stato hacerato da un altro simpaticone, il file configuration.php era stato modificato e pure l'index e non potevo accedere nemmeno nel lato amministrativo, stavolta invece vi accedo.
Fabiana io comunque i file ck li ho cancellati e gli index.htm li ho sostituiti con quelli del buckup, inoltre
ho ripristinato i file index.php htaccess configuration e tutti gli altri della root ma x me la storia non cambia $:-\$
ora sto continuando a spulciare..
voi avete qualche idea?
grazie in anticipo a chiunque possa darmi una dritta.
ciaooooooooooooooooooooo

fabiana · « **Risposta #13 il:** 22 Gen 2013, 23:44:58 »

ciao
allora i file ck.htm,xk.txt mi pare di capire che servano solo a far apparire la scritta ma che non siano molto pericolosi...ora li cancello anch'io; ho trovato anch'io il file xxu.php ma cos'è? si puo' togliere senza rischi credi? sembra esattamente quello che è successo a me strano che sostituendo i file modificati non te lo ripristini, guarda bene sulle date se non ti sei perso qualche file modificato anche nelle cartelle....magari è quello. la cartella stories te l'ha modificata? a me dalla date e dall'ora sembrerebbe di si ma dentro non ho trovato nulla....strano....

epoe · « **Risposta #14 il:** 22 Gen 2013, 23:56:31 »

ciao,
ho controllato tutto ma non ci sono altri file strani..
il file xxu.php l'ho rimosso perché è stato inserito nell'esatto momento di tutti gli altri ck.htm e index ma comunque non ho ottenuto nessun risultato...

epoe · « **Risposta #15 il:** 23 Gen 2013, 00:45:19 »

solo x dire che sono riuscito a risolvere il tutto e per dare una mano a chi si trova ad avere il mio stesso problema.
Dov'era l'inghippo?
I permessi.
Chi ha hackerato il sito aveva modificato i permessi di alcuni file tra cui il configuration.php impedendo di riscrivere i file da backup.

adesso posso anche andare a dormire

caioooooooooooooooooooooooooooooooooooo oooooooooooooooo

banzaibull · « **Risposta #16 il:** 23 Gen 2013, 09:34:33 »

Ciao....

Stessa cosa anche a me....

Mi spieghi esattamente cosa va cancellato e cosa ripristinato?

Bye.

epoe · « **Risposta #17 il:** 23 Gen 2013, 09:56:27 »

Ciao,
allora io ho cancellato tutti i file ck.htm e index.htm sia nella root che nelle altre cartelle in cui anche fabiana li ha trovato ( images, chace, ecc... vedi sopra), ti puoi aiutare guardando le date in cui le cartelle sono state modificate.
Inoltre ho cancellato anche il file uux.php nella cartella images. NOn ho capito il suo scopo ma nei precedenti backup non c'è ed è stato modificato nell'esatta data ed ora in cui il sito è stato hackerato.
fatto questo con filezilla ( ftp ) ho cambiato i permessi del file configuration.php che erano stati settati a 644 ( quindi non riscrivibili ) e li ho impostati a 755.
poi ho ripreso il configuration.php da un mio backup e l'ho sovrascritto ( prima non lo potevo fare e non me ne ero accorto

)
una volta fatto ho messo di nuovo i permessi a 444 sul file.

Nota.
Leggendo in giro mi sembra di aver capito che c'è una falla nel template ja_purity, io l'ho cancellato e nelle vecchie versioni di JCE quindi va aggiornato.

Prova e facci sapere.

ciaoooooooooooooooooooooooooooooooo

fabiana · « **Risposta #18 il:** 23 Gen 2013, 10:27:41 »

ho scritto al mio hoster,**** e mi hanno risposto che non serve cambiare la password ftp ma effettivamente questo problema nasce da una falla di JCE su joomla1.5 che va aggiornato.
Domanda: posso mettere l'ultima versione di jce su joomla1.5?

edited by tt8: rimosso riferimento commerciale.

epoe · « **Risposta #19 il:** 23 Gen 2013, 10:50:05 »

la versione 2.3.2 è compatibile con j 1.5 quindi si, puoi aggiornare

mau_develop · « **Risposta #20 il:** 23 Gen 2013, 11:03:46 »

Nota.
Leggendo in giro mi sembra di aver capito che c'è una falla nel template ja_purity, io l'ho cancellato e nelle vecchie versioni di JCE quindi va aggiornato.
-------------------------------------------------------------------------------------------
più che leggendo in giro... sta tutto quì

http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

epoe · « **Risposta #21 il:** 23 Gen 2013, 11:07:39 »

si, si.
con "leggendo in giro" intendevo l'articolo di alexred e altri post in altri siti e forum in inglese.
La prossima volta posterò direttamente il link.
grazie.

ciaoooooooooooooooooooooooooooo

t0om · « **Risposta #22 il:** 23 Gen 2013, 21:14:42 »

Ciao a tutti,
anche io sono alle prese da oggi con un attacco al mio sito (Joomla 1.5.26) con JCE vecchia versione. Nella cartella principale è stato caricato il file "sejeal.jpg" ma questo non ha defacciato il sito: la cosa strana è che la home si visualizza normalmente mentre nessuna pagina interna viene raggiunta. Il messaggio è: Not Found. The requested URL [...] was not found on this server.

Ho su server un backup giornaliero dei file (il db sembra intatto), ho scaricato tutto in locale, cancellato le cartelle in remoto e ricaricato tutto su server. Ma niente, continua a vedersi la home ma non le pagine interne.

Il sito ha diversi componenti installati e molti moduli e molte personalizzazioni, per questo vorrei evitare di reinstallare tutto. Cosa posso provare che non ho provato?
Grazie a chi potrà aiutarmi.

tomtomeight · « **Risposta #23 il:** 24 Gen 2013, 07:56:55 »

Un backup giornaliero può servire poco ai fini della sicurezza, non che sia sbagliato farlo ma bisogna tener presente il fine stesso del backup che può servire in caso di errori in fase di immissione dati o aggiornamenti o crash del server ed in questo modo si rischia una minima perdita. In caso di attacco però basta non accorgersene a tempo, un giorno, ed ecco che risulta inutile un backup di un sito violato. Il consiglio, fate pure backup giornalieri, ma lasciate almeno da 3 a sette copie in modo da risalire indietro di tot giorni ed affiancate anche un backup mensile ripetuto 2 o 3 volte, si potrà risalire a 3 mesi prima. In ultimo non lasciate sul server, o perlomeno non in una directory sopra la root, le copie di backup.

Knock · « **Risposta #24 il:** 24 Gen 2013, 08:52:02 »

Mi è successo ieri sera, il file uux.php sembrerebbe infetto...

t0om · « **Risposta #25 il:** 24 Gen 2013, 09:30:58 »

Citazione da: t0om - 23 Gen 2013, 21:14:42

Ciao a tutti,
anche io sono alle prese da oggi con un attacco al mio sito (Joomla 1.5.26) con JCE vecchia versione. Nella cartella principale è stato caricato il file "sejeal.jpg" ma questo non ha defacciato il sito: la cosa strana è che la home si visualizza normalmente mentre nessuna pagina interna viene raggiunta. Il messaggio è: Not Found. The requested URL [...] was not found on this server.

Grazie per le risposte, aggiorno la mia situazione specifica:
il problema consisteva nel fatto che il file .htaccess è stato modificato e di conseguenza non si raggiungevano più le pagine con l'url modificato in modalità sef.
In sintesi avendo nella "Configurazione Globale" impostato "Friendly URL per i motori di ricerca" e "Utilizza mod_rewrite" entrambi su "Sì", ma non avendo il file .htaccess configurato correttamente non si riuscivano a vedere le pagine interne.
Ho modificato il file .htaccess (uso un noto hosting commerciale) in modo da avere commentato

# Options +FollowSymLinks

e indicata la cartella in cui è installato il sito

RewriteBase /mia_cartella

spero che queste informazioni possano essere utili a qualcuno.
ciao

Npaquito · « **Risposta #26 il:** 24 Gen 2013, 09:36:56 »

Hola

Citazione da: fabiana - 22 Gen 2013, 21:41:50

joomla 1.5.15
avevo installato akeeba, flexicontent,jce,oziogallery come componenti e aidanews, imagemenu e qualche modulino cosi'...

Sia flexicontent che jce hanno vulnerabilitá segnalate, controlla che non si tratti di queste versioni e, se fosse il caso, sostituiscile.

dulce pedraza · « **Risposta #27 il:** 24 Gen 2013, 10:59:51 »

Citazione da: t0om - 23 Gen 2013, 21:14:42

Ciao a tutti,
anche io sono alle prese da oggi con un attacco al mio sito (Joomla 1.5.26) con JCE vecchia versione. Nella cartella principale è stato caricato il file "sejeal.jpg" ma questo non ha defacciato il sito: la cosa strana è che la home si visualizza normalmente mentre nessuna pagina interna viene raggiunta. Il messaggio è: Not Found. The requested URL [...] was not found on this server.

Stesso problema, identico. per me l'attacco è avenuto il 22/01/2013 alle 2 dal mattino

solo che io non sono ancora riuscita a risolvere... ho anche seguito gli stessi passi di t0om.....

dulce pedraza · « **Risposta #28 il:** 24 Gen 2013, 13:05:53 »

Citazione da: dulce pedraza - 24 Gen 2013, 10:59:51

Stesso problema, identico. per me l'attacco è avenuto il 22/01/2013 alle 2 dal mattino

solo che io non sono ancora riuscita a risolvere... ho anche seguito gli stessi passi di t0om.....

mi correggo.. HO RISOLTO... dopo 1000 tentativi alla fine ho risolto come ha fatto t0om.
un file htaccess.txt di uno dei tanti backup .. lo ho solo trasformato in .htaccess ed è ripartito tutto.

Andrea Marino · « **Risposta #29 il:** 15 Feb 2013, 13:19:42 »

Problemone: ho provato a cambiare i permessi ma leggo da Filezilla che non posso farlo:
"Risposta: 550 Could not change perms on xxu.php: Read-only file system"

Lo stesso mi accade con i file index.php e con ck.htm

Aveste suggerimenti su come cambiare comunque i permessi ed eliminare i file infetti?
(Possiedo il back dell'index e del resto del sito, solo che non riesco a metterlo su)

Potete aiutarmi per favore?

Andrea Marino · « **Risposta #30 il:** 15 Feb 2013, 13:21:18 »

Ho provato anche ad agire sul file htaccess, come suggerivate, ma nonostante abbia tutti i permessi Filezilla mi dice: "Risposta: 451 Rename/move failure: Read-only file system"

Aiuto!

Andrea Marino · « **Risposta #31 il:** 15 Feb 2013, 13:29:16 »

Ok, Ho risolto. Il problema era nella domanda che vi ho posto, mi sono reso conto. Dovevo agire dal File Manager e non da Filezilla. Grazie, ciao, Andrea

Autore Topic: sito hakerato come ripristinarlo (Letto 14402 volte)

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop