Piccolo attacco hacker

[ilbaro]

Se visualizzo il sito tramite pc non si vede niente, ma se uso lo smartphone in fondo al sito si vedono delle frasi di vendita del *** .
Ora non saprei proprio da dove partire per cancellare queste frasi.
Mi potete dare una mano, da dove parto dal database o dalle cartelle di joomla?

[emerenziano]

Hai un backup pre-attacco ? Se sì ripristina da lì, se no... è un bel problema. Prova a vedere se è stato modificato il file .htaccess, magari c'è stato semplicemente messo un redirect verso un altro sito. Se da mobile va e da pc no potrebbe anche essere corrotto il template.

Magari indica anche l'URL per capire meglio cosa sta succedendo.

Da backend entri ? Se sì prova  ad attivare il template Protostar e se la homepage si visualizza anche da pc.

[ilbaro]

il sito è questo. lho fatto io in maniera "artigianle".
www.carrozzeriamarini.it


questo è il file .htaccess

Codice: [Seleziona]


##
# @package      Joomla
# @copyright   Copyright (C) 2005 - 2014 Open Source Matters. All rights reserved.
# @license      GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##


## Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks
Options +SymLinksIfOwnerMatch
## Mod_rewrite in use.


RewriteEngine On


## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.


## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects


##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##


 RewriteBase /


## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.




Posso entrare in beckend, non ho il protostar, ho attivato il beez5 perchè ho sempre la versione joomla 2.5. non ho aggiornato perchè essendo un amatoriale e lavorandoci avanza tempo ci avrei impiegato molto tempo per aggiornare il template e tutte le estensioni. Non pensavo che un sito così piccolo e anonimo potesse essere individuato dagli hacker.
 Attivando il template beez5 sembrerebbe che quelle scritte scompaiano anche da smartphone.

[danielecr]

Guardando il sorgente della homepage, non mi sembra venga caricato javascript malevolo, l'unica cosa che ho trovato è il seguente spezzone di codice:

Codice: [Seleziona]

<a href="http://sinoptik.su" target="_blank" title="погода на 5 дней">погода на 5 дней[/url]
Che è un sito su previsioni del tempo.

Se sei fortunato, e sempre che quel link non l'abbia messo tu, ti hanno solo fatto un'iniezione di quel link, quindi puoi scaricarti in locale tutto il sito e cercare la stringa

Codice: [Seleziona]

http://sinoptik.su e fare una pulizia manuale; stessa cosa cercare la stringa nel database e pulire.
Se sei sfortunato invece ci sono altri file modificati e qua diventa più complicato e ti consiglio di leggere le discussioni nella sezione sicurezza per avere un'idea di cosa si stia parlando, perchè non c'è una regola comune.
Devi comunque tenere sempre aggiornato joomla ed estensioni.

Non pensavo che un sito così piccolo e anonimo potesse essere individuato dagli hacker.

Non penso proprio che una persona fisica si sia messa a bucarti il sito, piuttosto sarà stato scansionato e bucato automaticamente.
PS: cmq io il sito da pc lo vedo e da mobile nessuno tenta di vendermi niente..ma forse hai già ripristinato un backup.

[ilbaro]

PS: cmq io il sito da pc lo vedo e da mobile nessuno tenta di vendermi niente..ma forse hai già ripristinato un backup.

se ti colleghi tramite smartphone e scorri in fondo alla pagina vedi che ci sono un sacco di parole che sembrano ad indicare medicinali, tipo vi.a.gra e cose simili.

[emerenziano]

Io, sia da desktop che da mobile, vedo una pagina di login con il template Beez. Mi sa che nel frattempo hai reinstallato tutto.