sito hackerato hosting mi ha bloccato il sito joomla

[jem]

Buonasera a tutti, oggi mi è arrivata un email dall hosting che ospita il mio sito web con in copia l'email da parte di un addetto alla sicurezza web di un ente brasiliano. Questo è quanto l'hosting mi consiglia:

Ti preghiamo di intervenire per eliminare il codice indesiderato ed evitare che il problema possa ripresentarsi tappando le falle e aggiornando tutti i sw di terze parti alla loro ultima versione se presenti. Vi preghiamo poi di inviarci un resoconto dettagliato delle operazioni effettuate cosi' da permetterci di riattivare il dominio in sicurezza.
Su questo sito avevo ancora la versione joomla 1.5, e riesco ad entrare solo tramite filezilla tramite l'indirizzo ftp. ho riscontrato che c'è una cartella nominata =http_ che ha i dati dell'ente brasiliano, e poi mi trovo che sono stati modificati o aggiunti i seguenti file:
 food.php nella cartella components,
nella cartella images è stato aggiunto il file mnp.php,
nella cartella template è stato aggiunto il file mnp.php,
al di fuori delle cartelle  mi trovo un file nominato 3xp.php, d4.php, food.php e di nuovo mnp.php.
Cosa devo e posso fare, purtroppo non ho un backup pulito del sito. Per favore vi chiedo di aiutarmi. Grazie

[mau_develop]

letto i post in evidenza?

[jem]

tu parli del post intitolato:
Attacchi, ripristino e sicurezza Joomla
si l'ho letto, ma adesso mi trovo ad un bivio, perchè il file di installazione di joomla 1,5 non lo trovo sul sito per poter fare un confronto con cosa è stato modificato o aggiunto dagli hacker. Ho fatto il dowload dell aggiornamente della versione 1.5 alla versione 1.5.26 e ho sovrascitto le cartelle ma ora che faccio?questa ha solo sovrascritto dei file ma quelli che ho elencato prima, nella versione di installazione, sono da cancellare, modificare, lasciare? grazie per l'attenzione

[giusebos]

ormai il sito è compromesso, almeno la parte relativa ai file, quindi piccole operazioni di pulizia non servono a niente.

Continua a leggere il post che hai citato, ci toverai altre alternative, ma naturalmente devi acere una certa padronanza di joomla, altrimenti rischi di perdere anche il salvabile.

[mmleoni]

ciao jem,
 oltre i files che hai individuato potrebbero essercene decine di altri, magari con nomi più anonimi e nascosti tra i files di libreria di joomla.


ti conviene scaricarti il sistema (files+db) in locale ed approfittare di questa occasione per effettuare l'aggiornamento del sistema. ad ogni buon conto, come detto da maurizio, e da me in decine, se non centinaia, di post scritti in questi anni di ciò che hai sul server ormai non puoi più fidarti.


ciao,
marco