Sito sotto attacco (registrazione utenti e articoli generati da virus)

[pcpntk]

Salve, volevo condividere con voi l'esperienza che mi appresto ad affrontare, sperando di non dimenticare nulla con il vostro aiuto e poter aiutare chi, magari, si troverà in futuro in questa situazione!

Allora, veniamo a noi: Il sito in questione è ancora alla versione joomla 2.5.4 e, come dicevo, è stato attaccato da "server Zombie", intasando le registrazioni con mail false e intrufolandosi in k2; generando articoli di spam autonomamente!

Purtroppo, il portale non è mai stato aggiornato ne controllato (diciamo che il sito era stato abbandonato a se stesso...), allora per prima cosa mi tocca cancellare tutti gli user (quasi 400!) e gli articoli (circa 1000)! In seguito cambierò la password e l'username del SuperAdmin e del database, poi backup e infine aggiornerò tutti i componenti, in primo luogo il core di joomla e k2!

Qua il primo consiglio: Mi consigliate di aggiornare direttametne all'ultima versione di joomla 3 anche se non è una LTS? Lo dico perchè l'ho provata e mi ha davvero impressionato, un salto in avanti gigantesco in prestazioni e usabilità, anche per gli utonti medi! (e visto che questo sito sarebbe usato da persone non proprio "smanettone"...)

Altra cosa c'è un modo pratico per verificare se sul sito è presente "qualche intruso"? Per il resto le operazioni che ho elencato sono giuste? Avete qualcosa da appuntare o da consigliare?

beh... ho finito! ciaoooo

[BelinBelan]

..intasando le registrazioni con mail false e intrufolandosi in k2; generando articoli di spam autonomamente!

A questo punto, a mio modesto parere, fai prima a buttare via tutto e ricomnciare dda capo.

quanti e quali sono i file "attaccati"? Che sicurezza può offrire un sito "rimaneggiato" ma così pesantmente colpito? Esporta in locale quel che rimane di quel sito Web, salvati gli articoli che ritieni siano da salvare e gli utenti, e "incolla" tutto in una nuova verisone di Joomla, Template compreso, rimetti on line la nuova versione depurata.

Ripeto, a mio modesto avviso, e se è vero quanto da te descritto, io agirei così. 

[mau_develop]

Yess... tanto casino...poca esperienza....direi: santa pazienza, rifare e magico backup

[mmleoni]

J3 anche se non LTS, ma anche di prefettura, come fosse Antani... per due. 


salvi il db, controllandolo, e le immagini, controllandole due volte, tutto il resto lo butti via, come detto innumerevoli volte in innumerevoli post.


ciao,
marco

[pcpntk]

Yess... tanto casino...poca esperienza....direi: santa pazienza, rifare e magico backup

non è la poca esperienza, ma la mancanza di un webmaster che gestisse ed aggiornasse il sito(da un paio d'anni credo... quando uscì la 2.5.4?!). Il sito di cui sto parlando non è di mia proprietà e ovviamente ho un budget limitato!

Al momento provo a salvarlo come descritto nel post, se non funzionerà rifarò il sito da capo... salvo accettazione di preventivo (è un sito in 5 lingue!)...

In ogni caso aggiornando joomla non vengono sovrascritti i vecchi file del core? stessa cosa con k2, o mi sbaglio? comunque mi confermate che non ci sono "antivirus" di siti joomla? cioè che controllano se il sito riporta anomalie nel codice o qualcosa di simile..!

[BelinBelan]

ciao, non è che "aggiornando" si elimina la presenza di SPAM, i file che vengono modificano possono essere altri.

Esistono delle "protezioni" per joomla, certo, e dei buoni consigli li trovi appunto elencati nel TOPIc che apre la sezione sicurezza.

Senti, lo so che sarà faticoso, ma metti off-line il sito così nel tempo smetti di essere eventualmente segnalato e penalizzato da Google e/o altri motori di ricerca.

In locale installati WAMP 2.2 (o altri similari) e poi creati un sito in joomla 3.3.0, per esempio, poi poco alla volta dal "vecchio" sito, magari con j2xml recupera utenti/password, articoli etc.. metti un nuovo Template ed estensioni aggiornate, fai un backup degli articoli "buoni" di K2 e infine quando sei sicuro che tutto sia ok cancelli il vecchio sito e metti on line quello nuovo.

Se per te è troppo, nella Sezione Annunci posterai la tuas richiesta economica attendendo che qualche professionista si faccia avanti 

[pcpntk]

Se per te è troppo, nella Sezione Annunci posterai la tuas richiesta economica attendendo che qualche professionista si faccia avanti 

... ho già detto che non dipende da me, il budget è limitato e non ci starei dentro, il mio lavoro vai tranquillo che lo so fare...
Per quel che mi riguarda al momento è importante arginare i danni più grandi. Cambiando le varie password e aggiornando i componenti dopo che ho cancellato gli utenti che generavano gli articoli almeno un primo step dovrebbe essere raggiunto. Sospettando una situazione del genere ho anche detto a i proprietari del sito che se con queste modifiche non si risolvessero i problemi ci sarebbe da ridiscutere di tutto (è anche una questione tempistica, non possono permettersi di stare con il sito offline un mese, quindi anche se accettassero una modifica del genere intanto dovrei sistemare il sito esistente in breve tempo e, in parallelo, farne un'altro in locale!).

ps. mi sembra il solito angoscioso dilemma dei pc... salvo tutto e formatto o pulisco con i vari cleaner? eheheh al momento proverò a fare "il joomla-cleaner", è più chiaro?

[mmleoni]

devi fare un'installazione nuova con tutte le estensioni presenti sul sito, poi copi db ed immagini e vai in linea con il nuovo. il lavoro offline va in parallelo con il sito online.
i dettagli non li specifico ma sono evidenti.


quello che stai facendo è invece buttare via del tempo, imho.


ciao

[giusebos]

la ricetta è quella di mmleoni, altre strade sono solo tempo perso, capisco che il badget è limitato, ma si tratta di investire 10 minuti, non 2 o 3 giornate di lavoro......poi fai come vuoi

[mau_develop]

e ovviamente ho un budget limitato!
--------------------------------------
... e questa è la tua fortuna, vuol dire che è richiesta un accuratezza limitata... fai come ti viene.
Il mio macellaio se gli limito il budget mi limita la bistecca quello del tuo cliente forse no?

[pcpntk]

MWC mi trovo davanti al classico lavoro di emergenza non compreso dal richiedente, e capisco giusebos quello che dici ed ovviamente è la strada migliore, ma non risolverei in 10  minuti (come dici tu) con un sito in multilingua, con diverse tipologie di accesso e view, e con vari articol!
Comunque ho giust'ora recuperato l'ftp, vi terrò aggiornati sul cosa capiterà e, nel caso, a quanto reggerà la toppa!

[mau_develop]

vuol dire che è richiesta un accuratezza limitata... fai come ti viene.

quanto reggerà la toppa!

..appunto...più che toppe, senza budget, non è possibile fare... purtroppo quando si parla di sicurezza le toppe o nulla spesso si equivalgono ma non per incapacità tua ma perchè il semi-sicuro non esiste così come è già difficile garantire sicurezza.

[pcpntk]

..appunto...più che toppe, senza budget, non è possibile fare... purtroppo quando si parla di sicurezza le toppe o nulla spesso si equivalgono ma non per incapacità tua ma perchè il semi-sicuro non esiste così come è già difficile garantire sicurezza.

è un piacere vedere che capisci il problema, in ogni caso sembra che le aziende italiane di questo concetto (ed altri, come indicizzazione, ad mirate, social marketing e bla bla bla) se ne fregano... per questo ho praticamente smesso di lavorare "conto terzi" e sto cercando di dedicare più tempo a miei siti. Questo sito che sto "rattoppando" è un caso (gestisco ormai solo 2 siti, al di fuori dei miei!)!

[mau_develop]

no, non prendertela così ... semplicemente se non ne capiscono il motivo o se non vogliono metterci soldi è comunque mio dovere evidenziare questa voce nel contratto; sarà la stessa che mostrerò quando ne sentiranno il bisogno.

La cosa più sbagliata è farlo gratis o farlo comunque come hai fatto perchè non risolvi il problema ma gli dai modo di dire che hai fatto male te un lavoro
A volte "coccolando" il cliente ottieni proprio l'effetto opposto, rischi di passare per pasticcione o incapace e questo a me fa incaxare molto di più che perderlo per un costo un po' alto... perchè in qs secondo caso è un attimo riconquistarlo, nel primo è praticamente impossibile....

[giusebos]

io vedo che ( parlo delle aziende) quando gli si spiegano i concetti e gli si dice quali sono le opzioni, poi decidono in modo netto.

Vedo invece colleghi che s'inventano supercazzole che li porta spesso a perdere il lavoro