Autore Topic: sito infetto (Letto 12860 volte)

fabridal · « **il:** 23 Mag 2009, 00:10:24 »

Ragazzi ho urgente bisogno di aiuto..il mio sito è stato attacccato...Google lo blocca se lo si prova a visitare:

Il sito web www.tuttovolley.org è stato segnalato come sito web malevolo ed è stato bloccato sulla base delle impostazioni di sicurezza correnti.

Come devo procedere??

Grazie

fabridal · « **Risposta #1 il:** 23 Mag 2009, 21:39:49 »

ragazzi ho assoluto bisogno di aiuto...il mio provider mi ha creato un file di log con le pagine infette ma quando lo apro sono solo caratteri incomprensibili...Cosa devo fare per recuperare la situazione?

bigham · « **Risposta #2 il:** 23 Mag 2009, 22:03:25 »

Ciao fabridal.

Dipende tutto da cosa hanno fatto al sito e come hanno avuto accesso.
I casi sono due:
- o non hai aggiornato il core di Joomla all'ultima versione
- o hanno sfruttato una falla di qualche modulo o componente o plugin che hai installato e non controllato e aggiornato

Ti dico cosa farei io:
Prima un backup del database che cancellerei subito dopo.
Poi, accedendo via FTP, cancellereli l'intero sito e farei una nuova installazione.

Del vecchio database utilizzarei solo le tabelle dei contenuti e tutto il resto (moduli, componenti e plugin) li reinstallerei uno per uno verificando se esistono versioni aggiornate.

Chiaramente non so cosa ci fosse nel sito ma piuttosto che cercare di ripararlo rifarei tutto dal principio e osservando meglio i principi necessari alla sicurezza di un sito web.

fabridal · « **Risposta #3 il:** 23 Mag 2009, 22:18:36 »

joomla aggiornato all'ultima versione...

non so come l'abbiano infettato ma in parecchie pagine sono stati inseriti codici di script...

quindi mi consigli di:

backup database..
reinstallazione joomla reinstallando poi il database...

bigham · « **Risposta #4 il:** 23 Mag 2009, 22:27:06 »

Allora hanno sfruttato un bug in qualche estensione che hai installato.

Si, conviene cancellare tutto e installare una versione pulita di joomla.

Se non ti ricordi le estensioni che hai installato e non puoi accedere al backend puoi leggerle nel database. Le tabelle sono:
jos_modules
jos_plugin
jos_components

Cerca le estensioni che hai installato e verifica che siano le ultime distribuite.

Ah! dimenticavo: per sicurezza cambia la password di accesso al sito via FTP e la password del database. E non usare la stessa password di prima per l'utente admin che accede al backend.

fabridal · « **Risposta #5 il:** 23 Mag 2009, 22:35:51 »

ma voglio capire...

se ora cancello tutto dall'ftp e reinstallo una nuova versione di joomla e gli importo il db salvato torna tutto come prima?

avevo alcune pagine statiche html e tante immagini ed mp3 sull'ftp,questi posso lasciarli sul server e cancello solo tutta la roba di joomla??

bigham · « **Risposta #6 il:** 23 Mag 2009, 23:41:54 »

I contenuti e le pagine non Joomla le devi lasciare dove sono.

Ma attenzione a che tipo di pagine sono perchè potrebbero essere anche quelle ad abbassare il livello di sicurezza. Non so come sono fatte ma ovviamente ci farei attenzione.

Non torna "tutto come prima" nel senso che i moduli, i plugin e i componenti dovrai reinstallarli a mano uno per uno.

Solo i contenuti potrai riaverli come prima.
Ho fatto lo stesso discorso in questa discussione dove un utente aveva reinstallato il sito mantenendo le vecchie tabelle. Leggilo

fabridal · « **Risposta #7 il:** 23 Mag 2009, 23:54:29 »

senti,dal pannello del mysql,esporto semplicemente tutto ciò che riguarda il database generando quindi un unico file sql,sarà questo che dovrò importare dopo aver svuotato anke il mysql?
e come svuoto il mysql?

quindi sostanzialmente dovrò reinstallare plug in e componenti...

bigham · « **Risposta #8 il:** 24 Mag 2009, 00:07:37 »

Si, esporti semplicemente tutte le tabelle e phpmyadmin ti crea un unico file.

Non è indispensabile che elimini fisicamente le tabelle. Durante l'installazione di Joomla, nella fase di creazione del database, puoi scegliere se mantenere le vecchie tabelle. Sarà Joomla stesso a rinominarle con il prefisso bak_ al posto di jos_ e a crearne di nuove vuote.

Se poi le vuoi eliminare ti basta selezionarle tutte in phpmyadmin e, in basso alla pagina di destra, troverai una casella a discesa con scritto "Se selezionati:" ti basta scegliere Elimina.

NON devi importare tutte le tabelle perchè ti troveresti informazioni che non ti servono e che ti impediranno di installare i moduli, i componenti e i plugin.

Solo le tabelle:
- jos_content
- jos_categoris
- jos_sections
ti servono per recuperare i contenuti.

Avevi degli utenti registrati? Usavi Community Builder per gestire gli utenti?

Una volta che hai fatto il backup del database e lo hai salvato sul tuo pc hai tutto lì dentro.

Fai tu le tue valutazioni su cosa del database ti serve e cosa no. Sicuramente le tabelle:
jos_modules
jos_components
jos_plugin
non ti servono perchè dovrai reinstallarli a mano.
Se le importi Joomla si aspetta di trovare quelle estensioni e non te le farà reinstallare.

fabridal · « **Risposta #9 il:** 24 Mag 2009, 00:30:16 »

chiarissimo...

ora mi sto salvando su pc tutto ma proprio tutto quello che era sull'ftp...anche se ci metterà parecchio...

poi per quanto riguarda i file da eliminare dall'ftp...tutto ciò che riguarda joomla giusto?i file html statici,le immagini,gli mp3 lascio tutto giusto?
poi reinstallo joomla e recupero le tabelle.

Si,avevo degli utenti registrati,quindi importerò anke jos_users giusto?

amo sempre di più questo forum...sempre pronti a dare supporto...grazie

bigham · « **Risposta #10 il:** 24 Mag 2009, 11:22:47 »

Fai bene a salvarti tutto ma proprio tutto

Quello che devi eliminare sono solo le cartelle e i file di Joomla. Se non circordi quali siano le cartelle basta che decomprimi il file zippato di joomla in una cartella sul tuo computer e avrai così il riferimento certo a cosa devi cancellare. In ogni caso dovrai farlo per poi trasferire tutto via ftp sul sito.
Ma non me ne farei un problema visto che ti stai trasferendo tutto il sito (hackerato) i files che ti servono dopo (immagini, mp3, html) li hai e non dovrai fare altro che ritrasferirli una volta che avrai completato la nuova installazione.

Per quanto riguarda gli utenti non devi importare l'intera tabella jos_users perchè essa contiene anche l'utente admin che ti verrà creato con la nuova installazione.

Quando sarà il momento ti spiegherò come devi fare per importare solo gli utenti ad esclusione dell'utente admin. Non è difficile, laborioso ma non difficile.

Personalmente ormai dò supporto solo se capisco che la soluzione non è semplice e immediata e a chi dimostra di avere la volontà di lavorare ed impegnarsi oltre le semplici indicazioni che posso dare. E tu lo hai dimostrato con le tue domande mirate (a parte l'uso del phpmyadmin che dovresti approfondire

)

Se ti è possibile fai un elenco di tutti i moduli, i componenti e i plugin che hai installato e che non sono nell'installazione di joomla segnandoti in modo particolare la versione dell'estensione.
In questo modo potrai recuperarli e valutare se effettivamente uno di questi non era aggiornato e poteva essere la causa del problema.

Ciao

fabridal · « **Risposta #11 il:** 24 Mag 2009, 11:43:16 »

ho fatto lavorare il pc tutta stanotte e ho downloadato tutto il contenuto dell'ftp..

situazione attuale: mysql salvato in un file sql, ftp svuotato (o meglio cancellato il contenuto riguardante joomla, ho lasciato mp3,immagini che per riuploadarli ci metterei troppo...)
mi rimangono sull'ftp le 2 cartelle di backup automatico fornito dal provider...ke faccio le cancello queste?

per quanto riguarda moduli e componenti, onestamente ne avevo installati forse parecchi ma ne utilizzavo pochi...quindi diciamo che non penso ci saranno problemi a renstallare quelli che effettivamente mi servono...

-Sono ora in fase reinstallazione joomla...
quando reimposto il database come devo comportarmi?

bigham · « **Risposta #12 il:** 24 Mag 2009, 12:03:24 »

Citazione da: fabridal - 24 Mag 2009, 11:43:16

ho fatto lavorare il pc tutta stanotte e ho downloadato tutto il contenuto dell'ftp..

E ti lamenti? Mica hai lavorato tu a trasportare sulle spalle i file uno per uno!?!

Spero il PC non fosse nella stanza dove dormi, allora potrei capire...

Citazione

situazione attuale: mysql salvato in un file sql, ftp svuotato (o meglio cancellato il contenuto riguardante joomla, ho lasciato mp3,immagini che per riuploadarli ci metterei troppo...)

Hai fatto benissimo, tanto una copia ce l'hai comunque.

Citazione

mi rimangono sull'ftp le 2 cartelle di backup automatico fornito dal provider...ke faccio le cancello queste?

SI! Cancella il contenuto delle cartelle senza cancellare la cartella.
Potrebbe esserci una versione hackerata del sito nella cartella di backup, quindi non ti server a nulla.

Citazione

per quanto riguarda moduli e componenti, onestamente ne avevo installati forse parecchi ma ne utilizzavo pochi...quindi diciamo che non penso ci saranno problemi a renstallare quelli che effettivamente mi servono...

Suluzione migliore, così avrai il sito più pulito

Citazione

-Sono ora in fase reinstallazione joomla...
quando reimposto il database come devo comportarmi?

Visto che ne hai una copia potresti anche cancellarlo.
Ma joomla ti permette di mantenere le vecchie tabelle che verranno rinominate con il prefisso bak_
Scegli tu quale delle due. Non cambia molto.

L'unica cosa a cui penserei e quella di NON installare i dati di esempio. Poi saresti costretto a svuotare le tabelle che li contengono.

fabridal · « **Risposta #13 il:** 24 Mag 2009, 17:22:14 »

Reinstallazione effettuata,il provider mi offriva il database diviso in 5 parti, sta volta ho utilizzato il 2°

ora come dovrei procedere?

bigham · « **Risposta #14 il:** 24 Mag 2009, 19:02:37 »

Bene.
Quindi hai un database pulito senza neanche le tabelle di backup.

Adesso accedi al database con phpmyadmin e clicca sul pulsante SQL. Ti comparirà una casella di testo per i comandi SQL.

Con un editor di testo apri il file .SQL che è il backup del database che hai fatto e dai una ricerca della tabella jos_sections (basta una semplice ricerca di testo.

Dovresti trovare questo testo:

CREATE TABLE 'jos_sections' ......

e sotto

INSERT INTO 'jos_sections' ......

Bene, la prima è l'istruzione sql che crea la tabella e non ti insteressa. Devi invece evidenziare e copiare tutte le righe INSERT INTO 'jos_sections' che ci sono immediatamente sotto.

Poi le incolli nella casella di testo per i comandi SQL di phpmyadmin e clicchi sul pulsante segui.
Se non ti sei dimenticato niente nell'operazione di copia e incolla dovrebbe inserire nella tabella jos_sections del sito gli stessi record che c'erano nella vecchia tabella del vecchio sito.

Ripeti la stessa operazione per le tabelle delle categorie e dei contenuti.

fabridal · « **Risposta #15 il:** 24 Mag 2009, 21:44:21 »

allora,son riuscito ad importare categorie sezioni ed articoli facendo importa da ciò che avevo esportato dal vecchio database...di regola dovrebbe aver importato tutto per bene,solo sugli utenti forse ho ancora qualke problemino...
cmq ora vorrei sapere come mantenere la sicurezza del tutto onde evitare un riverificarsi della spiacevole situazione...

bigham · « **Risposta #16 il:** 24 Mag 2009, 23:12:32 »

Citazione da: fabridal - 24 Mag 2009, 21:44:21

allora,son riuscito ad importare categorie sezioni ed articoli facendo importa da ciò che avevo esportato dal vecchio database...di regola dovrebbe aver importato tutto per bene,solo sugli utenti forse ho ancora qualke problemino...

Non so cosa tu abbia fatto ma se ti funziona va bene così

Citazione

cmq ora vorrei sapere come mantenere la sicurezza del tutto onde evitare un riverificarsi della spiacevole situazione...

Tenere sempre sotto controllo le versioni delle estensioni che hai installato.
Puoi fare riferimento ai due stiky post all'inizio della board sicurezza oppure direttamente al sito http://www.bugsearch.net/it/

Tenere sempre aggiornato il core di joomla ogni volta che esce una nuova release. Non perdere tempo ad aggiornare il codice del sito.

Cambiare tutte le password di accesso (database, ftp, ecc). Magari se il tuo hoster lo consente accedere al sito in ftp utilizzando una connessione ssl.

Magari si potrebbe proteggere l'accesso alla cartella administrator con questo plugin.

Dovrebbe bastare

fabridal · « **Risposta #17 il:** 25 Mag 2009, 10:07:50 »

Come faccio ora a far togliere l'avviso di google di sito infetto?

rojo · « **Risposta #18 il:** 25 Mag 2009, 11:18:18 »

Citazione da: fabridal - 25 Mag 2009, 10:07:50

Come faccio ora a far togliere l'avviso di google di sito infetto?

Salve,
ero interessato a capire la validità di segnalazione di sito infetto; cioè l'avviso viene evidenziato da Firefox (e Google?!) ma non succede niente aprendolo con IE7 ??

bigham · « **Risposta #19 il:** 25 Mag 2009, 17:59:00 »

Google segnala in automatico che un sito risulta "infetto" mettendo sotto il link del tuo sito la frase

Citazione

Questo sito potrebbe arrecare danni al tuo computer.

Non importa con quale browser tu consulti il motori di ricerca, la segnalazione è visibile e la mette google.

Per eliminare il sito tra quelli che google ritiene infetti una volta che è stato riparato basta cliccare sul link al sito che google riporta nella sua pagina e seguire le istruzioni attraverso gli Strumenti per webmaster e il centro assistenza webmaster.
Bisogna avere un account gmail, ovviamente