sito bucato sejeal

[peppeirace]

Salve
ho diversi siti fatti con la versione 1.5 aggiornati tutti a 1.5.26
in questi giorni un subito un attacco "sejeal"che inserisce contenuti in russo con link vari e ha caricato anche un'immagine sul server

quasti contenuti a parte in un solo sito, non vengono visualizzati nel frontend ma solo negli articoli attraverso l'editor

la mia domanda è se migrando alla 2.5 questo problema può essere arginato

a parte questo i siti funzionano ancora bene e la migrazione sarebbe molto complicata per diversi motivi

cosa mi consigliate di fare?

grazie a tutti
peppe

[giusebos]

Controlla le estensioni dei siti, vedi se sono aggiornate.
Passando alla 2.5 potresti anche risolvere, a patto che non ci siano estensioni buggate e la configurazione del server sia a posto.

Quindi non è la versione di joomla che ti deve preoccupare, ma il resto.

[BelinBelan]

Ciao Peppeirace,

Se il codice "malevolo" è nell'articolo, anche migrando non risolvi: gli articoli sono salvati nel Database e non nei file di Joomla.

La cosa più rapida è mettere off-line tutti i siti "incriminati".

Sovrascrivere, per sicurezza, tutti i file di Joomla! con la stessa esatta versione (se un sito è in joomla 1.5.26 gli sovrascriverai i file della stessa verisone).

Con PHPmyadmin, e qui sta la solfa, ti spulci gli articoli, se individui un "pattern" e sei in grado, ti fai una query di update per rimuovere tale "pattern" da tutti gli articoli (risparmieresti giorni e giorni di lavoro)

il Database e ogni sua modifica evita di farla su una copia sola, fatti una bella export, lavoraci, se qualcosa va storto ricominci re-importando il DB che avevi salvato.

Infine rimetti tutto on-line.

Ecco, io fare icosì se mai mi dovesse capitare 

[giusebos]

Ciao Peppeirace,

Se il codice "malevolo" è nell'articolo, anche migrando non risolvi: gli articoli sono salvati nel Database e non nei file di......

Si quello che dici è giusto, se effettivamente hanno scritto nel database, ma apparte questo, la domanda vera è:

• Come hanno fatto tutto ciò?
• Come ci sono sono riusciti?
• Quale è stata la porta da dove sono entrati?
• Hanno semplicemente inserito qualche file che sovrascrive i contenuti o cambiato tutti i contenuti scrivendo direttamente negli articoli.

Per la mia esperienza e per la quantità industriale di siti che ho visto violati, 9,5 volte su 10 utilizzano un estensione non aggiornata per iniettare codice. Tutte le altre volte invece, è venuto fuori che era un problema di credenziali, chi ha fatto le modifiche aveva user e password.

[peppeirace]

Grazie Belin Belan
come faccio a individuare un pattern nel db
ti allego un file di testo contenete  quello che ho trovato negli articoli, in cima a tutto alcuni link contenuti

per la sovrascrittura secondo te posso trascurare i template che a suo tempo modificai nei css?

grazie




[allegato eliminato automaticamente dopo un anno]

[BelinBelan]

Sono d'accordo con te Giusebos

Anzi, mi scuso per non aver aggiunto che:

vanno cambiate le password di accesso al DB

vanno cambiate le password di accesso utente superuser/admin etc..

consultata la "blacklist" su Joomla.org per vedere quali e quante estensioni pericolose sono eventualmente installate nel o nei siti web gestiti e sostituite con altre più adeguate.

Infine, dove possibile migrazione a nuova versione Joomla!

Un lavoraccio che però da grandi soddisfazioni alla fine.

[peppeirace]

grazie a tutti e due
le passw del db le ho già cambiate e ora cambierò quelle dell'amministrazione

peppe

[BelinBelan]

Ciao Peppe,

purtroppo non sapendo dove è "il buco" dove sono passati per scrivere negli articoli, non dovresti sottovalutare niente, template compreso.

Ho scaricato il file, l'ho esaminato ma non ho trovato ricorrenze a meno che, ogni paragrafo non si ripeta per tutti gli articoli.

Mi sa che dovrai rimuovere tutto a manina. Per evitare altri danni, metti tutti i siti off-line. Il resto con calma.

[peppeirace]

ok grazie