sito scomparso!

[marceff]

Il sito è scomparso sia in front che in back end. Il log del server riporta questo errore:


File does not exist: /www/MW_qXIacXnyG/ansps-idp.eu/wp-trackback.php, referer: http://www.ansps-idp.eu/wp-trackback.php


inoltre non comprendo quel "wp-" prima del nomefile che sembrerebbe essere riferito a un fantomatico worpress (ma forse sbaglio).
Il sito è in Joomla 3 e i file sembrerebbero esserci tutti (ma ovviamente qualcosa è stata modificata e/o cancellata).
Il sito non è stato modificato da alcuni mesi, quindi non ci sono stati interventi da parte mia o di chiunque altro abbia la possibilità di entrarvi come amministratore. Sono alquanto disorientato su quello che possa essere successo, almeno di virus e similari, anche se l'host non ha riscontrato anomalie a parte quel file mancante di cui sopra.
Posso solo accedere in ftp e facendolo, ho trovato all'interno della cartella "components" un file x.php e anche nella cartella "librerie".
Grazie per l'aiuto

[rezor]

Ti hanno bucato, la cosa migliore è ripristinare un vecchio backup (antecedente il 13 dicembre se possibile) visto che il 14 sono partiti gli attacchi che probabilmente ti hanno colpito. Se non hai un backup, aggiorna manualmente la versione, controlla il file di configurazione, controlla eventuali file estranei (questa è la parte più rognosa: devi trovare tutti i file eventualmente caricati dagli intrusi), dai una ripulita al database e dovresti poter tornare online.

Risolvere l'errore 500 che al momento previene l'uso del tuo sito non toglie che il sito sia effettivamente stato bucato, quindi dovrai comunque fare tutte le attività di pulizia.

[marceff]

Grazie per la risposta!
Ho appena risolto, come consigliavi tu, ripulendo da file estranei (ne ho trovato 5/6 x.php qua e la), inoltre il file index.php era stato modificato e altro ancora. Quindi ho sostituito tutti i file di Joomla incluso il template in uso. Quest'ultimo però mi ha dato parecchio da fare, perché nonostante l'avessi sostituito, continuava a non funzionate come avrebbe dovuto, facendo scomparire alcuni moduli. Anche qui, dopo molto lavoro, sono riuscito a beccare il problema.
Insomma, un bel casino... ma come è stato possibile? Hanno bucato il server, nonostante i firewall?
Mi dovrei incraxare con l'host?

[rezor]

No: la colpa, purtroppo, è tua. Joomla - come tutti i prodotti - subisce un regolare ciclo di aggiornamento e revisione che porta a tappare le falle di sicurezza, normalmente prima che diventino di pubblico dominio e siano utilizzate da malintenzionati.  Il fatto che tu non avessi aggiornato da 6 mesi è sicuramente una colpa.  Anche se in questo caso, con la release del 14/12/2015 è stato corretto un baco terribile che però entro poche ore era già molto diffuso, forse non avresti comunque fatto in tempo.

Noi ce la siamo cavata veramente con poco, facendo una diff con il repository git o con i backup della settimana prima.  Sicuramente la strada più veloce.

Se vuoi stare più al sicuro, il firewall oltre a bannare gli accessi con password sbagliate (fail2ban) dovrebbe fare deep packet inspection per prevenire i sql injection ed i php object injection, non sono regole difficili (fatti due conti, la maggior parte dei siti non richiede il passaggioo di parametri con quote (") e graffe ({}) all'interno, se questo è il caso ti difendi facilmente con un paio di regolette.

[marceff]

Ok, grazie x le dritte!