Mi è stato sospeso l'hosting per sito che fa spam!!!

[lucia86]

Vi copio l'avviso dell'hosting. Qualcuno sa aiutarmi? Ho già aggiornato joomla 1.5 all'ultima versione stabile. Ora non so come aggiornare tutti i componenti, pluging, ecc che sono davvero tanti è un portale.
Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano. Qualcuno sa darmi delle indicazioni??
------------------------------------
Buongiorno,
la presente per avvisarla che abbiamo proceduto alla sospensione del dominio in oggetto a causa della presenza di scripts malevoli (o presunti tali) all'interno del suo spazio hosting, script utilizzato per l'invio massivo di spam.
La invitiamo a rimuovere i contenuti segnalati ed a provvedere alla bonifica di ulteriori file che potrebbero essere presenti e/o all'aggiornamento delle componenti del suo sito (Codice PHP, CMS, Plugins) onde evitare il ripetersi della problematica.
Altresì la invitiamo a modificare le credenziali di accesso per gli utenti FTP e per l'utenza del pannello di gestione
 
1) Scripts identificati (la lista potrebbe non essere completa e/o esaustiva)
 
/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php
 
2) Mail Log
 
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: lazietta@hotmail.com -- Headers: From: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com>  Reply-To: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: ldrbgolf@telus.net -- Headers: From: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com>  Reply-To: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leedaz15@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leemarietta@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leonetta_1913@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: letovoleg@ukr.net -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: lexxxx2000@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com>  X-Priority: 3 (Normal)  MIME-Version: 1.0  Content-Type: text/html; charset="iso-8859-1"  Content-Transfer-Encoding: 8bit
 
 
Vi ricordiamo che non sarà sufficiente eliminare gli script per riattivare il sito, ma sarà almeno necessario aggiornare il software ed i relativi plugin

[BelinBelan]

Ciao lucia86

il problema è serio e per risolvere "velocemente" dovresti scaricarti via FTP tutto il sito in locale, copiare il DB esportandolo il un file MYSQL unsando il phpmyadmin che il tuo servizio hosting ti mette a disposizione.

Nel tuo PC installi Wamp o Xampp (1.7.3) quindi crei un nuovo DB in "locale" cioè nel tuo pc e importi il file mysql con i dati del tuo db esportato in precedenza.... etc..etc...

Una volta che il tuo sito funziona correttamente nel tuo PC provvedi alla rimozione dei "file maligno" e agli aggiornamenti/upgrade.

Se tutto questo ti sembra complicato puoi chiedere aiuto qui oppure inserire un annuncio nella apposita sezione dove, a pagamento, riceverai aiuto.

considera che se ti impegni ce la fai sicuramente da sola. 

[mmleoni]

non sono d'accordo con lo scaricare l'intero sito e lavorare su questa copia. il sito è stato compromesso e non sai quali file sono stati aggiunti/modificati, ritengo sia più sicuro rifare un'installzione ex novo e caricare il db, previa verifica dei contenuti, su questa. ti mando un link con le istruzioni via pm.

Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano. Qualcuno sa darmi delle indicazioni? ?
2) Mail Log
 mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To:

anche il nome suona assai strano, e poi guarda il log della funzione mail, come fai a non trovarci niente di strano? 

ok, se non sei un programmatore non è semplice, ma quel file non è di joomla e serve ad inviare mail, questo te lo dico senza bisogno di vederlo.

il problema ultimo, è poi capire da dove sono entrati e chiudere loro la porta, come indicato dal provider nella nota di chiusura. a questo proposito ci sono diversi post in questa sezione.

ciao,
marco

[azocomposto]

Ciao,
avevo il tuo stesso problema e non avendo il tempo di passare alla versione 2.5 mi arrangiai in questo modo:
1. Esegui una scansione online del tuo sito con diversi antivirus, alcuni come avg ti indica il codice o la pagina;

2. Sono d'accordo con mmleoni, ma se non hai tempo segui il consiglio di BelinBelen

3. Una volta in locale usa notepad++ per cercare in tutte le cartelle del tuo sito in locale una parola chiave individuata dall'antivirus.

Io avevo fatto così e avevo pulito tutti i file colpiti.

Ciao

[Fabiosbest]

[...]
Se tutto questo ti sembra complicato puoi chiedere aiuto qui oppure inserire un annuncio nella apposita sezione dove, a pagamento, riceverai aiuto.

Salve ho lo stesso problema, come potrei chiedere aiuto?


Grazie

[pandronic]

forse questa esperienza può essere di aiuto:

http://forum.joomla.it/index.php/topic,256912.msg1193742.html#msg1193742

http://forum.joomla.it/index.php/topic,257032.msg1193741.html#msg1193741

Per curiosità: cosa c'era esattamente nel file? anche solo un tag php aperto?

Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano.
 
/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php

In merito alla tua richiesta sui plugin, devi prima controllare se c'è una versione compatibile, quindi aggiornarli (se sono moduli di terze parti controlla il sito o contatta l'autore).

[$Red]

forse questa esperienza può essere di aiuto:

forse hai riesumato un topic del 2013.. 

[pandronic]

 

hai ragione, ma il vero colpevole del RU è fabiosbest 

cercando situazioni analoghe questo era uno dei topic più in cima