Attacco hacker

[Mastershaper]

Salve a tutti,
avrei bisogno che qualche anima pia mi aiutasse a capire cosa fare:
già da prima di Natale il sito della mia associazione di wargames è "giù" (www.ilcircolodipietra.it).
Ho contattato l'assistenza tecnica del provider che prontamente mi ha così risposto:


Gentile cliente,
il problema è stato generato da un attacco hacker che ha inserito file malevoli nel dominio e che ha modificato alcuni dei file del pacchetto originale di Joomla.
Dalle analisi eseguite, riteniamo che siano state sfruttate le vulnerabilità della versione di Joomla e del componente com_jce non aggiornati presente all'interno dello spazio web.
Si tratta, infatti, della versione 1.5.6 (l'ultima disponibile è la 2.5.17). Le ricordiamo che il mantenimento di versioni non aggiornate comportano un grave rischio per la sicurezza del dominio in quanto tali installazioni sono prive delle ultime patch di sicurezza, necessarie per evitare simili problematiche.Per ulteriori informazioni sulla vulnerabilità in questione, Le consigliamo di fare riferimento a questo articolo: http://www.joomlacontenteditor.net/news/item/jce-and-your-sites-security
Le consigliamo di eliminare tutto il contenuto dello spazio web e di pubblicare una copia pulita dell'installazione di Joomla all'interno dello spazio web e di aggiornare il prima possibile all'ultima versione disponibile. E' caldamente consigliamo eliminare il componente com_jce o aggiornarlo.
Le consigliamo inoltre di modificare la password di Super Adminstrator di Joomla e la password della casella di posta a esso legata.


Il ragazzo che mi ha inizialmente installato Joomla purtroppo si è defilato e sto cercando un pò di assistenza.
Ho scaricato il backup di Akeeba zippato, tramite FTP ho buttato tutto il contenuto del sito seguendo la procedura da questo link: http://jomguide.it/sicurezza/ripristino-del-sito-con-akeeba-backup.htmlma purtroppo all'avvio del vero ripristino mi si ripresenta il messaggio di Server Error...
Aiuto!

[mmleoni]

ciao e ben venuto nel forum.

la prima cosa che avresti dovuto fare è un backup completo del sito (files e db) prima di caricare un backup.

a questo punto dovresti vedere i files di log per capire che cosa non va. semmai chiedi all'assistenza come recuperarli.

ciao

[Mastershaper]

Ho effettuato un backup completo del contenuto dell'FTP prima di buttare e ricaricare.
Che cosa dovrei vedere esattamente nei Log?

[mmleoni]

sarebbe servito anche il back del sql, il contenuto recuperato tramite ftp non serve a niente senza il sql associato. chiedi alla assistenza se è recuperabile un backup.

dai file di log estrapola il messaggio di errore dettagliato, ovvero il motivo per cui viene visualizzato l'errore.
ciao,
marco

[Mastershaper]

Scusate l'ignoranza, i log sono appunto contenuti nella cartella logs nella root del sito?
Error.php recita così:



#<?php die('Direct Access To Log Files Not Permitted'); ?>
#Version: 1.0
#Date: 2008-08-30 09:36:57
#Fields: date   time   level   c-ip   status   comment
#Software: Joomla! 1.5.6 Production/Stable [ Vusani ] 12-August-2008 22:00 GMT
2008-08-30   09:36:57   -   79.31.185.63   -   
2008-08-30   09:48:18   -   82.48.241.198   -   
2008-09-01   21:23:29   -   82.52.188.141   -   
2008-09-01   21:52:18   -   82.52.188.141   -   
2008-09-20   13:29:12   -   82.56.186.245   -   
2008-09-20   13:41:12   -   82.56.186.245   -   
2008-09-20   13:41:51   -   82.56.186.245   -   
2008-09-24   17:12:06   -   79.16.19.159   -   
2008-09-24   17:34:06   -   79.16.19.159   -   
2008-10-06   19:32:30   -   82.58.228.231   -   
2008-10-09   19:24:40   -   82.52.187.84   -   
2008-10-12   17:37:02   -   79.30.252.162   -   
2008-11-10   23:39:59   -   79.7.251.158   -   
2008-12-16   21:15:35   -   79.7.251.33   -   
2009-01-12   21:31:30   -   82.48.246.170   -   


Il provider dice che il DB viene archiviato per 7 giorni, temo vi stia facendo perdere tempo...

[Mastershaper]

Un'ultima domanda,
vi risulta che all'interno dei backup di Akeeba sia contenuto anche un backup del DB (MySQL)?
Grazie