Richiesta password dopo login

[Vincent Reis]

Gentili amici, da qualche decina di ore sto combattendo con un malfunzionamento del mio sito. Si tratta di un sito con Joomla 1.7.
Inizialmente ho notato che la pagina di login aveva cambiato grafica, ma non ci ho fatto molto caso.
Dopo il login in qualità di amministratore, perfettamente riuscito, il sistema mi ha proposto la solita schermata. Purtroppo a questo punto però qualsiasi cosa faccia mi chiede una seconda password, come se non avessi i privilegi necessari per operare. In sostanza non posso accedere alle funzioni di amministrazione.
Prima di scrivere sul forum mi sono fatto un bel giro in rete per vedere se c'era una casistica del genere ma senza trovare nulla. Ho provato a sostituire tutto il sito con un backup della settimana prima fatto automaticamente da [****](nessun risultato) e ho provato a resettare la password con "totalresetadminpassword".
Non sapendo più che pesci pigliare provo anche a scrivere sul forum prima di apprestarmi all'arduo compito di reistallare tutto (mesi di lavoro)…
Ultima informazione: il sito è regolarmente visibile e funziona senza problemi. Però non lo posso modificare.
Nella speranza di avere qualche dritta vi auguro una splendida giornata.
In allegato la pagina con la richiesta di password.

---
edited by mod: cancellato nome provider

[allegato eliminato automaticamente dopo un anno]

[mmleoni]

ciao Vincent Reis, benvenuto sul forum 

per prima cosa sappi che qui è vietato citare nomi di servizi/programmi a pagamento, poi permettimi una battuta: mesi di lavoro? nel 2011!! 

a questo punto è possibile che anche il backup sia compromesso, inoltre non hai ripristinato il db, o almeno non lo hai detto, e quindi potrebbe essere stato anche installato un qualche cosa di altro sul sito. hai cancellato tutto il filesystem prima di ripristinare il backup o lo hai semplicemente sovrascritto? in quest'ultimo caso risolvi un problema di cancellazione dei files, non un attacco hacker (direi che ti è succeso questo).

se hai conservato le date dei files prova a verificare che cosa è stato modificato,  ma in questi casi bisogna scaricarsi il sito in un'area di test  e analizzarne il codice per benino.

ciao,
marco

[Vincent Reis]

Grazie per la risposta. Terrò a mente le regole del forum riguardo ai sevizi a pagamento. Confesserò che speravo ci fosse una casistica di qualche sul tipo di malfunzionamento che mi sta accadendo. Ho provato a ripristinare il database usando il backup automatico della settimana scorsa, ma evidentemente il problema è più vecchio.
A questo punto credo che l'unica cosa da fare sia reinstallare joomla in maniera parallela al sito che comunque è online, anche se non editabile, e con pazienza reinserire le pagine. quando parlavo di "mesi di lavoro" penso di non andare tanto lontano dalla verità dato che si tratta di qualche migliaio di pagine con informazioni e molto altro ancora.
Ho visto che la l'ultima versione, la 3.3.6 necessita di una versione PHP non presente sul server. Provero ad analizzare la 2.5 per vedere se gira. Nel frattempo se qualcuno avesse qualche dritta da darmi, ne sarei molto grato.


 

[mmleoni]

temo che difficilmente troverai una casistica, come ti ho detto il problema sembra molto causato da un hacker. per queste eventualità vi sono i post ad inizio sezione, ma non nego che in tali eventualità la parte del leone è fatta dalla esperienza acquisita e dalla competenza professionale.

capisco che tu, a questo punto, non voglia sentire che ai mesi di lavoro avresti dovuto aggiungere qualche ora per aggiornare una piattaforma uscita dal supporto a febbraio 2012, ma mi pare, e sarei felice di sbagliarmi, che il problema sia proprio questo.

a tutti consiglio di mantenere aggiornate le  versioni del cms, sicuramente senza controllare giorno per giorno, ma sicuramente senza aspettare due anni e mezzo... ed in casi come questi procedere ad una copia del file system e del db prima di tentare qualsiasi operazione di ripristino.

per il resto verifica che il sito non sia usato per fare spam, per visualizzare pubblicità non tue, o per redirezionare gli utenti provenienti dai motori di ricerca su siti terzi.

quanto alla tua situazione, a parte un tentativo di ripristino in locale per permettere le procedure di aggiornamento a j2.5, non saprei che consigliare.

per il resto vediamo se qualcuno ha qualche consiglio illuminante.

ciao e buona fortuna,
marco

[Vincent Reis]

La fortuna aiuta gli audaci. Sono riuscito a strappare all'hacker il mio povero sito. Perché di hacker si trattava. Ho cambiato password al sito e cambiato password a tutte le mail collegate. Credo che il "delinquente" utilizzasse direttamente il sito per spammare. Infatti una volta superata la barriera della password dopo il login nella sezione amministrazione, grazie a un colpo di fortuna che mi ha permesso di rintracciare la causa del problema, sono finito direttamente nella sua pagina di spam. Domanda: Può rientrare? Esiste forse una back door per bypassare il login di joomla 1.7?
Sto finendo di copiare fisicamente sul mio computer tutte le pagine del sito in modo da poterle sostituire in caso di nuova intrusione. Lo steso farò per il database SQL. Ovviamente prima possibile farò un upgrade verso sistemi più sicuri.
Adesso me ne vado a dormire perché è stata una dura battaglia.

[mmleoni]

mi pare sia tutto come ti era stato detto... comunque sono felice per la tua vittoria 

probabilmente ci sono shell php qua e là per il sito, quindi l'unica è aggiornare a 2.5, spianare il filesytem e mettere su i files di un j2.5 nuovo, dopo di che si installano ex novo estensioni e template, se, e solo se, esistono le versioni aggiornate.
trovi tutto nei post di inizio sezione.

ciao,
marco

[Vincent Reis]

Grazie per il prezioso supporto. Nei prossimi giorni mi adopererò per passare alla nuova versione. Speriamo nel frattempo di non essere "rivisitato".


Buona serata