Infezione vecchio sito -

[pbjolly]

Salve,
un vecchio sito nella versione 1.5 è stato infettato; quando accedo esce una schermata :



"In questa pagina web sono stati inseriti contenuti di globalsolarsolutions.ca, un noto sito distributore di malware. Se visiti ora questa pagina, il tuo computer potrebbe essere infettato con malware. Il malware è un software dannoso che può causare furto d'identità, perdite finanziarie ed eliminazione definitiva di file. "
Cosa posso far ? Procedendo e forzando comunque esso funziona, cosa posso fare per una bonifica ?
Grazie
Saluti

[$Red]

ciao io non so un esperto ma data la situazione procederei in questo modo:

• scaricare una copia del database
• scaricare le immagini e gli altri file allegati
• un installazione pulita in locale di joomla 1.5
• importazione del database scaricato
• ripristino delle immagini e file scaricati facendo prima una scansione con antivirus
• reinstallazione dei vari componenti/plugin/ecc installati o rimozione delle loro tabelle dal database se non installabili su versioni successive di joomla
• migrazione di joomla alla versione 2.5 o 3.2
• cambio di tutte le password sul server remoto e rimozione del vecchio sito
• installazione sul server del "nuovo" sito realizzato in locale

[mmleoni]

puoi provare i metodi descritti nei topic di inizio per tamponare il problema, dopo di che devi provvedere alla richiesta di riesame del tuo sito (tipicamente con webmaster tool di google, o seguendo le indicazioni nella pagina di avviso).

tuttavia, come detto in numerosi post, una volta che un hacker è entrato si lascia dietro una serie innumerevole di backdoor/shell e così via tramite le quali riguadagnare l'accesso al sito.

da quanto sopra consegue che oramai di quel sito puoi solo tenere db ed immagini (verificando che siano davvero immagini.), quindi segui i topic marcati come importanti e migra a j3.2.

ciao,
marco

[mmleoni]

piccola nota di servizio: l'antivirus non serve a niente!

è una pia e beata illusione che possa servire a qualcosa: al limite può individuare il link, ma di sicuro non individua una shell che uno si sia scritto da sé. e per una shell di upload bastano 15 righe di php, commenti compresi.

ciao,
marco

[$Red]

piccola nota di servizio: l'antivirus non serve a niente!

è una pia e beata illusione che possa servire a qualcosa: al limite può individuare il link, ma di sicuro non individua una shell che uno si sia scritto da sé. e per una shell di upload bastano 15 righe di php, commenti compresi.

ciao,
marco

ciao Marco, grazie hai dato conferma al un mio dubbio sull'antivirus, però leggendo altri topic ho visto che lo consigliavano e l'ho fatto anche io 

[mau_develop]

certamente perchè se è un bimbom l'av è inutile... ma se è il delinquentello che vuole rubbarti qualcosa in più, dopo che ha messo la shell inizia anche a spargere malware o link a malware.
L'antivirus interverrà se tu cliccando o aprendo o scaricando qualcosa stai portandoti sul tuo pc qualche schifezza.
Più che antivirus servirebbero ids

[mmleoni]

io mi riferivo all'uso dell'antivirus per la scansione dei files php:

5. ripristino delle immagini e file scaricati facendo prima una scansione con antivirus

il fatto che l'antivirus non rilevi niente serve solo a dare una falsa sicurezza all'utente non esperto.

ciao,
marco

[mau_develop]

sissi non volevo farti un appunto ...passavo e ho aggiunto due righe al tuo pensiero (...nn mi sembra contrasti)

[mmleoni]

premesso che non intendo dichiarami infallibile e che quindi si può anche dissentire da ciò che dico  , la tua nota è utile perché il mio pensiero poteva essere frainteso.

ma a dire il vero ero io che avevo frainteso pensando che tu avessi frainteso 

ciao,
marco

[mau_develop]

...non si contraddice mai un sysadmin, gli si spiega le cose bucandogli il server appena configurato ....