[risolto]Attacco Sito Versione 1.6.6.6 e recupero articoli

[saviothecnic]

Buona Sera ieri sera mi sono accorto che il mio sito è stato bucato.

Per prima cosa ho provato a recuperare i backup ma anche quello di una settimana
fa presenta ancora attacco ho provato a sovrascrivere delle cartelle con alcune che avevo scaricato
in locale sul HD ma niente.

E i Backup sql che ho scaricato in locale rispetto hai settimanali on-line mi da errore nel importazione

Prima domanda vi è modo di levare attacco recuperando tutto il sito ?

Se non è possibile almeno dal backup SQL posso recuperare gli articoli e la struttura del sito ?

Sinceramente non ricordo che versione avevo sotto di Joomla ma credo che fosse una 1.5
o al massimo una 1.6 era una vita di dicevo oggi aggiorno e alla fine rimanda che rimanda mea culpa adesso mi trovo con il sito offline

Grazie per aiuto per adesso come prima cosa che ho fatto
ho cancellato tutto il sito.

[allegato eliminato automaticamente dopo un anno]

[azocomposto]

Ciao,
in linea di massima puoi recuperarlo, ma che tipo di attacco hai subito?

1. Hanno iniettato codice javascript nei file php del cms?
2. Hai trovato file con caratteri strani?
3. Prova ad eseguire una scansione online del tuo sitoweb per capire qual'è il malware presente
4. Io, a seguito di un attacco, avevo scaricato il sito in locale e poi avevo individuato grazie ad un antivirus online il codice maligno e avevo eseguito una pulizia a tappeto di tutti i file grazie all'ausilio di notepad++.

Avevo risolto dopo un bel pò di ore di lavoro. In oltre dai uma occhiata alla documentazione per come mettere in sicurezza joomla.
Ciao

[saviothecnic]

Non so che tipo di attacco sia esclusa quella di Admin tutte le pagine riprotano smerpe allo stesso link
quando ho scaricato il sito in locale av su due files mi ha detto che sono infetit con un certo offuscated b

[mmleoni]

ciao saviothecnic e benvenuto sul forum 

noterai che all'inizio di questa sezione ci sono vari topic, che spiegano gli interventi da compiere,  e che ti invito a leggere, onde evitare di ripetere sempre le stesse cose.

più nello specifico:
il tuo sembra proprio l'attacco tipo dello script kiddy, ovvero del ragazzino idiota che vuol var vedere agli amici quanto è figo, il che di solito implica che si è limitato a modificare qualche file index.php
verifica le index.php della root e del template per le usali sequenze con i vari base64 e simili (vedi i citati topics).

sulla base di quanto sopra difficilmente il db sarà compromesso ed altrettanto difficilmente servirà a qualcosa ripristinarlo. puoi però usarlo per creare ex novo il sito, devi capire però con quale versione di joomla creare la base del sito di ripristino.

la domanda più importante è poi sempre la stessa: da dove sono entrati?
anche se nel tuo caso immagino che la risposta sia nei mancati aggiornamenti... 


ciao,
marco

[saviothecnic]

ciao saviothecnic e benvenuto sul forum 

Grazie sopratutto per le rapide risposte

noterai che all'inizio di questa sezione ci sono vari topic, che spiegano gli interventi da compiere,  e che ti invito a leggere, onde evitare di ripetere sempre le stesse cose.

Si ci ho dato una letta ma nello specifico avevo due domande.
Prima in che modo capisco che versione di Joomla ho installato sono passati anni e non ricordo

Secondo se dal files del DBase posso recuprare gli articoli se si in che modo

più nello specifico:il tuo sembra proprio l'attacco tipo dello script kiddy, ovvero del ragazzino idiota che vuol var vedere agli amici quanto è figo, il che di solito implica che si è limitato a modificare qualche file index.php verifica le index.php della root e del template per le usali sequenze con i vari base64 e simili (vedi i citati topics).

Ok vado a rifarmi una letta avevo sovrascritto tutta la dir administrator
con una che avevo sul mio HD è non è servito

sulla base di quanto sopra difficilmente il db sarà compromesso ed altrettanto difficilmente servirà a qualcosa ripristinarlo. puoi però usarlo per creare ex novo il sito, devi capire però con quale versione di joomla creare la base del sito di ripristino.

Questa è una buona notizia

la domanda più importante è poi sempre la stessa: da dove sono entrati?
anche se nel tuo caso immagino che la risposta sia nei mancati aggiornamenti... 
ciao,
marco

Si di questo ne sono certo e sarà la prima cosa che faccio appena ripristinato il sito

[mmleoni]

versione di joomla:

Joomla! 1.0.x
/includes/version.php

Joomla! 1.5.x
/libraries/joomla/version.php

Joomla! 2.5.x
/libraries/cms/version/version.php


in questi files trovi il numero. immagino si tratti di J1.5...

per recuperare gli articoli/il sito, la cosa migliore è rifare l'installazione con i medesimi componenti e caricare il db.

ti mando il link ad un mio articolo via pm.

ciao,
marco

[saviothecnic]

ciao,marco

Ok ho trovato ho la ver 1.6.6.6
Il files che mi è stato modificato è un template joomspirit_18 in particolare index.php

Solo che se riscopio index di un backup di due mesi fa ultimo pulito che ho mi da questo errroe

Parse error:  syntax error, unexpected T_CASE in /web/htdocs/www.saviot.com/home/templates/joomspirit_18/html/modules.php on line 1

[mmleoni]

1.6.6.6 

comunque no comment, neanche una stable...

probabilmente hanno modificato più di un file, quindi segui le istruzioni nel link che ti ho inviato.
alternativa: imposta il template di default e prova a fare l'aggiornamento a j2.5, dovrebbe essere possibile in automatico.
a questo punto recupera il db j2.5 e montalo su una nuova installazione, come spiegato in quell'articolo.

ciao,
marco

[saviothecnic]

1.6.6.6  comunque no comment, neanche una stable...

Avete ragione Mea Culpa 

Ho aggiornato epr passi fino alla 2.5.1.6 senza problemi

Poi proseguendo per la 3.0.4 mi da questo errore come provider ho ******
è un errore mio o un porb del provider ?

Your host needs to use PHP 5.3.1 or higher to run this version of Joomla!

Come non detto trovato http://www.bluxis.it/2010/05/come-aggiornare-la-versione-di-php-su-hosting-*****

edit rimosso riferimenti commerciali.

Spero di riuscire a rimettere tutto su a breve Vi terro aggiornati

[saviothecnic]

Tutto apposto ho rislto anche il problema dell' errore su joomspirit_18
Parse error:  syntax error, unexpected T_CASE in /web/htdocs/www.saviot.com/home/templates/joomspirit_18/html/modules.php on line 1

in poche parole è bastato rinominare
\\www.saviot.com\templates\joomspirit_18\html
in
\\www.saviot.com\templates\joomspirit_18\--html

Ho trovato la soluzione sempre con il cerca su questo forum
non ho capito il perche ma aggiungendo i due -- adesso va e sembra che nessun articolo
sia compomesso oggi vedo che è uscito un nuovo agg sia per la 2.5x che per la 3.2.x
adesso piano piano vedo di upgradare fino alla 3.2.1 sperando di non essere nuovamente vittima
di attacchi

Grazie per la collaborazione e prezziosi consigli

[mmleoni]

non ho capito il perche ma aggiungendo i due -- adesso va

perché hai impedito l'override dei template, quindi vengono usati i template di default di joomla. lo stesso risultato lo ottenevi impostando il template di default, come suggerito.

sembra che nessun articolo sia compromesso

come pronosticato.

ora ricordati:

• gli aggiornamenti!!
• di mettere [risolto] nel titolo del post di inizio

ciao

[saviothecnic]

perché hai impedito l'override dei template, quindi vengono usati i template di default di joomla. lo stesso risultato lo ottenevi impostando il template di default, come suggerito.

Ok questa cosa me la vado a rileggere con calma perche non mi è chiara

come pronosticato.
ora ricordati:
gli aggiornamenti!!
di mettere [risolto] nel titolo del post di iniziociao

Ok vado a farlo subito adesso sto torano indietro
perche dal agg 2.5.x > 3.0.4 si è rovinata la visualizzazione pur
continuando fino alla 3.2.1 quindi adesso ritorno dietro alla 2.5.1.6 e tengo aggiornata
quella alle ultime ver per adesso .7 finale