Autore Topic: Strani file trovati via ftp (Letto 5368 volte)

Cloud7 · « **il:** 29 Mag 2016, 23:15:00 »

Ciao ragazzi!
Oggi collegandomi ad uno dei miei siti Joomla, ho notato che nella cartella principale ci sono almeno una trentina di file .php e .zip con dei nomi molto strani. Ve ne riporto alcuni:

Alviin.php
creature.php
J.E.php
Nerilien.php
Laury.php
Glyn.zip
peace.php

par.zip
pure.zip
lost.zip

Cosa potrebbe essere? Premetto che Joomla è aggiornato all'ultima versione.
Grazie in anticipo!

giusebos · « **Risposta #1 il:** 30 Mag 2016, 00:33:29 »

non basta avere aggiornato joomla, ma anche le estensioni devono esserlo poi rimane il server....

Cloud7 · « **Risposta #2 il:** 30 Mag 2016, 09:47:10 »

E' tutto aggiornato ragazzi. Quindi pensate che qualcuno lo abbia hackerato?

giusebos · « **Risposta #3 il:** 30 Mag 2016, 09:52:50 »

magari è il server che non è sicuro.
Ma almeno hai controllato cosa c'è dentro quei file?

Nella sezione sicurezza, dove avresti dovuto postare, c'è un articolo in testa in relazione a siti bucati e cosa eventualmente si deve fare, leggilo

Cloud7 · « **Risposta #4 il:** 30 Mag 2016, 10:06:24 »

Giusebos innanzitutto grazie per la risposta!
Si può spostare il post nella sezione sicurezza?

C'è una cartella, che si chiama "yodp3x".
Se cerco su Google non trovo molto, ma non sembra nulla di buono...
All'interno c'è un file htaccess, alcuni php e altri file di testo.

giusebos · « **Risposta #5 il:** 30 Mag 2016, 10:18:46 »

si certo che si può spostare.

quelle cartelle e file non fanno parte di joomla e temo che oramai la tua installazione sia compromessa.
Chi ti ha violato il sito non si sa esattamente cosa ti ha fatto e quali porte si è creato per entrare in comodità quando vuole, quindi considera di recuperare database immagini e template (che ricontrollerai come si deve) e poi ricostruisci il sito

Cloud7 · « **Risposta #6 il:** 30 Mag 2016, 12:44:40 »

Aggiornamento: credo c'entri Akeeba Backup. Se provo ad entrare, mi richiede una password che non ho mai messo. Ho disinstallato il componente e l'ho reinstallato.

giusebos · « **Risposta #7 il:** 30 Mag 2016, 13:14:11 »

quindi i seguenti file sono di akeeba backup?

Codice: [Seleziona]

Alviin.php
creature.php
J.E.php
Nerilien.php
Laury.php
Glyn.zip
peace.php


par.zip
pure.zip
lost.zip

Cloud7 · « **Risposta #8 il:** 30 Mag 2016, 17:01:55 »

No, assolutamente no.
Dico solo che probabilmente chi è entrato e ha fatto quello che ha fatto, poi ha impostato una password su Akeeba, in modo tale che io non potessi usarlo.

giusebos · « **Risposta #9 il:** 30 Mag 2016, 18:32:59 »

io credo che hai il sito compromesso e che se non rifai un installazione rischi.......

Cloud7 · « **Risposta #10 il:** 30 Mag 2016, 22:13:41 »

Hai perfettamente ragione.
Ma c'è un modo per evitare di resettare tutto?

giusebos · « **Risposta #11 il:** 30 Mag 2016, 23:43:56 »

recitare 7 pater ave gloria, 5 pater noster, 2 avemaria

Cloud7 · « **Risposta #12 il:** 31 Mag 2016, 11:12:41 »

Ahahah mi sembra giusto!

maxzilla · « **Risposta #13 il:** 31 Mag 2016, 11:22:54 »

Citazione

Ma c'è un modo per evitare di resettare tutto?

ciao Cloud7,
si c'e', ma davi fare anche controlli manuali, come verificare la presenza di files php sospetti anche in altre cartelle, ripristino di un vecchio Database, cambio password FTP e DB, verificare a fondo tutte le estensioni e plugin, insomma tante ore di lavoro e la certezza di non avere certezze almeno al primo colpo.

caygri · « **Risposta #14 il:** 01 Giu 2016, 11:34:19 »

Anche in questo caso farei il debug al sito e poi una bella pulizia

giusebos · « **Risposta #15 il:** 01 Giu 2016, 13:46:29 »

Citazione da: caygri - 01 Giu 2016, 11:34:19

Anche in questo caso farei il debug al sito e poi una bella pulizia

io credo che fare pulizia su una installazione di joomla controllando file per file, è un lavoro per chi ha qualche giornata libera.

Molto più veloce invece ricreare un sito con template e componenti e poi fare uno switch sul database storico

caygri · « **Risposta #16 il:** 01 Giu 2016, 13:52:36 »

sempre qualche giornata libera serve!
se il db è stato compromesso sempre la porta aperta lasci

giusebos · « **Risposta #17 il:** 01 Giu 2016, 14:02:54 »

Citazione da: caygri - 01 Giu 2016, 13:52:36

sempre qualche giornata libera serve!
se il db è stato compromesso sempre la porta aperta lasci

carissima, del db si prende solo ciò che efettivamente serve, e di questo sene può controllare velocemente la qualità

Consiglierei anche a te la lettura dei post in apertura su questa sezione

caygri · « **Risposta #18 il:** 01 Giu 2016, 14:03:54 »

da come hai scritto, avevo inteso che volessi solo spostare il db

Cloud7 · « **Risposta #19 il:** 13 Giu 2016, 12:20:28 »

Ragazzi grazie a tutti per le risposte.
Il problema nasce probabilmente da una cartella di un vecchio backup di non so quale arcano cms che era stata lasciata nell'FTP, che adesso è stata rimossa.

Prima di resettare tutto e ripartire da zero, il mio hosting ha creato una cartella contenete i file sospetti (probabilmente utilizzati per spedire email di spam), dei quali vi riporto i nomi di seguito (per i posteri):

Codice: [Seleziona]

elements.php
license.php
post.php.bz2
post.php_CHECK#
post.php_CHECK#_2
selcuk.php
post.php__CHECK#