[RISOLTO] Errore sicurezza malware + nuovo user per miracolo!

[claudio65]

 A questo punto vistosi che perlomeno possiedi un backup (copia del sito via FTP) e vistasi la relativa semplicità della struttura del sito, forse fai prima a rifarlo ex novo magari con Joomla 2.5.26 o Joomla 3.2.X
Dopo di ché ricordati di fare un backup del sito e del DB iniziale e uno ogni volta che apporti significative modifiche strutturali o di contenuti. Non di meno periodicamente sincerati che il core di Joomla e i vari componenti del sito siano sempre aggiornati, questo ti aiuterà a diminuire le possibilità di attacchi e nel malaugurato caso, avrai sempre un backup per ripristinare la situazione.
Guarda il bicchiere mezzo pieno e pensa che rifacendolo avrai un nuovo sito resposive che non è un plusvalore da poco 
 
A proposito, a titolo di curiosità, quando era stato fatto il sito?
 

[claudio65]

.

[mmleoni]

a questo punto devi valutare i costi benefici di continuare nel recupero piuttosto che rifare tutto ex novo.

i costi sono sostanzialmente il tempo che ci impieghi personalmente o il costo di un informatico che ti recuperi il sito (un giorno dovrebbe essere più che sufficiente per il recupero e per l'aggiornamento a 2.5.17, per la 3.x entra in ballo anche il discorso template e ...).

i benefici sono le informazioni che tu hai sul sito. quale sia la loro importanza e quanto valgano per te lo sai solo tu.


avevi parlato di avere un vecchio backup. un ultimo tentativo potrebbe essere quello di:

• fai il backup di file sysytem e db attuali (quelli sul server)
• carica i files (e solo quelli) del vecchio backup.
• prova ad accedere.

ATTENZIONE: questa è l'ultima risorsa, perché se il problema è nel db non risolvi niente, anzi potresti aver cancellato dati utili.

quindi pensa bene ai due punti di cui sopra prima di agire.

ciao,
marco

[claudio65]

Pardon, ho scritto Joomla 2.5.26 anziché 2.5.17 ma è chiaramente un lapis la ventisei più alcune patch  sono di Joomla 1.5

[smin]

Alcune volte le cose più idee più stupide risultano quelle più valide!

Prima di fare danni e copiare tutta la cartella di backup che avevo nel pc e trasferita tramite FTP, sono andato nella cartella administrator del sito ed ho notato con mio stupore che il file index.php portava anche lì uno strano codice....!
Visto che il pannello di controllo non mi dava errori dopo che inserivo le pass... ho pensato solo ad una cosa: quel file index non mi fa entrare nel sito! L'ho risistemato...... et voilà! L'errore è sparito e sono entrato nel backend del sito!
Ora aggiorno subito joomla, installo akeeba backup e picchio quello che mi ha hackerato il sito... 'tacci sua!

Vi chiedo due ultime cose poi metto "risolto" al topic:
1) come posso proteggere il mio sito per evitare che cose del genere avvengano di nuovo? anche se ho il dubbio che se aggiono joomla... il template non è compatibile!
2) come scopro dov'è il malvare nel sito?

[claudio65]

 Bene direi che possiamo gioire e poi oltre a portare un certo risultato l'idea non mi sembra tanto stupida 
In merito alle tue domande , sicuramente Marco saprà darti indicazioni più precise di quanto possa dartene io, comunque in riguardo alla protezione del sito, la prima cosa da farsi è tenere sempre aggiornata la versione di Joomla , i componenti, i moduli e i plugin. Il backup periodico è sempre salutare e foriero di vantaggi anche in questi casi.
In quanto a scoprire nel sito il malware non saprei indicarti una tecnica precisa, personalmente in passato  ho subito un attacco simile che in pratica aveva  inquinato tutti i file index.php  del sito. Dopo l'identificazione e l'eliminazione dello script maligno causa dell'inquinamento, avevo posto rimedio sostituendo  i files index.php con quelli di un backup pulito. Ma nel tuo caso bisogna capire prima se la cosa si limita ai files index.php o ha interessato anche il DB che sarebbe a mio avviso molto più problematico.
 

[mmleoni]

per la prima domanda vale la risposta di claudio65.

2) come scopro dov'è il malvare nel sito?

non puoi e non potrai mai sapere che cosa c'è ora in quel sito se non analizzando ad uno ad uno tutte le migliaia di file contenuti, e qui si torna al mio post di inizio.

so che non ci sentite mai da questo orecchio ma è così, punto e basta.
Puoi recuperare db ed immagini e trasferirle su una installazione nuova 'gemella', come descritto in innumerevoli altri topic. leggi quelli di apertura della sezione.

ciao,
marco

[smin]

Grazie ad entrambi per l'aiuto!!! 


Questo topic si può chiudere!!!