Aiuto sito hackerato

[nirvanablu]

Buongiorno a tutti,
mi serve un aiuto perché qualcuno a me ignoto ha verificato la proprietà del mio sito caricando un file html di verifica di Google Console tools.
Al momento io ho cancellato quel file, ho impostato che si può accedere tramite ftp solo tramite il mio Ip e ho modificato la password di accesso, ma sono convinta che tutto ciò non sia sufficiente per prevenire altri accessi e danni anche peggiori!
Vorrei innanzitutto come sia potuto accadere e poi poter prevenire altri attacchi.
Se ora faccio l'ultimo aggiornamento di Jooma, va bene o è meglio se prima ricarico un backup sicuramente sano?

[giusebos]

prima di ripristinare cambia tutte le password, accertati di avere tutti i componenti di joomla aggiornati: che non vuol dire guardare se ci sono aggiornamenti, infatti molte estensioni (quelle che non hanno mezzi per permettersi una CDN) vanno verificate a mano una per uno.

[nirvanablu]

Grazie, per la risposta.
Il problema si è ripresentato e facendo una scansione pare che il sito sia infettato da php.var.function.14, come lo elimino?


Poi ho una domanda forse sciocca, è normale che oltre al file .htaccess ce ne sia un altro che si chiama htaccess.txt?

[marine]

cancellare il file infetto non serve a molto se non capisci prima come hanno fatto ad infettarlo, se non metti in sicurezza il sito  molto probabilmente te lo ribucano in men che non si dica.

[nirvanablu]

Hai pienamente ragione...il problema è proprio capire come abbiano fatto.
Per ora sto cancellando tutte le estensioni superflue

[giusebos]

Solitamente per caricare un file malevolo utilizzano bug di vecchie estensioni che non sono state aggiornate:
(qui la colpa è del webmaster o del cliente che ha sottovalutato la questione)

per esempio alcune versioni di foxcontact, e di jb_contact si prestano a far caricare file php che contengono script che fanno di tutto, come ad esempio leggere le credenziali inserite nel file configuration.php, quindi leggere scrivere e modificare di tutto, dal DB alle credenziali della posta se si usa smtp come servizio email.

in questi casi eliminare tutto e ripristinare con un vecchio backup, aggiornando tutte le credenziali e anche tutte le estensioni, controllando manualmente, perchè non tutte danno l'avviso che esiste una nuova versione!

[nirvanablu]

Eccomi nuovamente.
Usando Xampp ho installato in locale 2 backup del mio sito: il più vecchio che avevo (nella speranza che fosse pulito) e quello probabilmente compromesso per poter recuperare qualche testo.


Ieri ho avuto l'idea di scansionare entrambe le cartelle con l'antivirus del pc...il vecchio sembra pulito, nell'altro invece ho trovato la "sorpresa":
PHP:BackDoor-Bu [Trj] il file infetto è \shaperultimate\configs.php ovvero nella cartella del template!


Domanda da ignorante: se installo in locale altri backup del mio sito fino a trovare il più recente e privo del trojan, dopo averlo aggiornato in locale ed eliminato tutte le estensioni inutilizzate, lo posso passare in remoto?


Mi spiego meglio: il backup più vecchio è privo di alcune impostazioni, che al momento non mi ricordo più come ho inserito e vorrei una soluzione veloce, ma sicura per riavere il mio sito.

[marine]

Devi capire come sono entrati, se non blocchi l'accesso ti ritroverai il sito hackerato in men che non si dica

[nirvanablu]

Secondo me dallo stesso template non aggiornato, in genere installo immediatamente gli aggiornamenti, ma ultimamente sono stata colpevolmente pigra.


Comunque, prima di spostare in remoto il sito, provvederò ad eliminare tutte le estensioni inutili, aggiornare il sito e seguendo le varie guide cercherò di rendere il sito più sicuro.

[marine]

Secondo me dallo stesso template non aggiornato

hai analizzato il codice per dire questo o è una predizione basata sui fondi di caffè?
Non mi pare che per i template di shaper siano state segnalate delle vulnerabilità, ma se tu sei sicura, ben per te.

[nirvanablu]

Lo sospetto perché era uscito un aggiornamento per questo template, inizialmente l'avevo aggiornato, ma mi dava dei problemi e quindi ho ripristinato la versione precedente. Secondo me qui cade l'asino, cioè io!
La prima regola per un sito Joomla sicuro non è tenere aggiornato sia il cms che le estensioni?


Ripeto, che nel dubbio provvederò a cancellare tutto l'inutile.

[marine]

shaper è una delle aziende più serie che produce template per joomla, i suoi template sono utilizzati in milioni di siti, se ci fosse stata una falla di sicurezza di questo livello la notizia si sarebbe sparsa in poco tempo oltre ad essere inclusa nelle varie liste delle vulnerabilità, ma se, ribadisco, per te il template era il colpevole, va bene così.