Autore Topic: SITO BUCATO: Sparito utente administrator (Letto 6333 volte)

mattej · « **il:** 03 Giu 2009, 00:06:38 »

Torno oggi da 3 giorni di vacanza e mi trovo una bella sorpresina..
sulla mail una richiesta di reset password mai chiesta per il mio nome utente (super administrator) del sito.
Il mio portalino non accetta più le mie password.
Se la richiedo dall'apposita voce (hai dimenticato la tua password?) dal modulo "jfusion login" mi dice che alla mail che inserisco non è associato nessun utente..
Entro nel database MYSQL, mostro i campi della taballe jos_user e scopro di avere solo più 17 utenti.. Administrator è sparito!!!

per una maggior comprensione vi spiego com'è strutturata la gestione degli utenti..
forum phpbb (registrazione utenti abilitata)
sito joomla (registrazione utenti disabilitata e sincronizzazione tramite jfusion)

avete qualche idea di come sistemare la cosa?!

è possibile creare un utente super admin dal mysql?

ringrazio

mattej · « **Risposta #1 il:** 03 Giu 2009, 00:28:59 »

Aggiornamento!!
sono riuscito ad entrare ma è tutto bloccato!
dal phpadmin ho notato un certo utente "vicious" come super administrator, gli ho cambiato la pss e sono entrato nel pannello, però ora qualsiasi funzione è bloccata. mi viene fuori una finestra che mi richiede un autorizzazione per l'accesso:

"Un nome utente e una password sono stati richiesti da http://www.trialmap.it. Il sito riporta: "kullanici adi ve sifreyi girin"

56francesco · « **Risposta #2 il:** 03 Giu 2009, 11:00:00 »

che versione di joomla avevi installata?

mattej · « **Risposta #3 il:** 03 Giu 2009, 11:26:54 »

1.5.9
se la aggiorno alla .11 dite che risolvo qualcosa?

56francesco · « **Risposta #4 il:** 03 Giu 2009, 11:30:33 »

ora non ha senso aggiornare, direi che hai subito una intrusione...

modifica subito le credenziali di accesso, tutte, ftp e dabase comprese perchè ora le conosce anche chi si è introdotto..

se avevi le copie e sono sane prima ripristina quelle poi aggiorna di corsa
ma se non cambi le credenziali di accesso è lavoro inutile..

anche avvisare l'assistenza hosting sarebbe opportuno..

mattej · « **Risposta #5 il:** 03 Giu 2009, 21:30:45 »

credenziali modificate!
ma non si riesce proprio a togliere quella finestra di autentificazione senza ripristinare tutto?

56francesco · « **Risposta #6 il:** 03 Giu 2009, 21:37:57 »

ti riferisci al modulo login?
non capisco..

mattej · « **Risposta #7 il:** 03 Giu 2009, 21:42:26 »

no, a quella che salta fuori nel pannello di controllo quando si clicca su qualsiasi voce.

56francesco · « **Risposta #8 il:** 03 Giu 2009, 22:13:44 »

sarà un effetto dell'intrusione,
non hai una copia sana da ricaricare?
neanche solo del satabase?

mattej · « **Risposta #9 il:** 03 Giu 2009, 22:19:04 »

si ma risale a fine aprile.
ripristinandola andrebbero perse tutta una serie di modifiche sperimentali che avevo apportato solo sul server e non in remoto.. (sbagliatissimo)

mattej · « **Risposta #10 il:** 10 Giu 2009, 17:49:01 »

Alla fine ho risolto pubblicando una copia di backup che ho provveduto subito ad aggiornare alla versione 1.5.11.
Tutto bene fino a 10 minuti fà quando mi arrivò una richiesta di reset password sulla mia mail, tempo di collegarsi al sito e.. trak! NUOVAMENTE BUCATO!!! ma com'è possibile!?

56francesco · « **Risposta #11 il:** 10 Giu 2009, 20:33:35 »

cosa ti è successo di preciso, avevi modificato anche le password ftp e del database?

mattej · « **Risposta #12 il:** 11 Giu 2009, 09:19:22 »

Del database no perchè non sono riuscito ma le altre tutte.. (FTP e Administrator del sito)
Praticamente mi è arrivata una richiesta di reset password sulla mail e da quel momento mi sono trovato questa pagina al posto del mio sito.. resettando poi la pss admin dal database sono entrato nel pannello di controllo e, dopo aver effettuato il login anzichè la classica schermata compare una roba strana con la possibilità di editare le cartelle del sito..
Dove può essere il problema?
da che parte saranno entrati?
controllando la lista aggiornata dei componenti potenzialmente bucabili ho notato che non ne uso nessuno di quelli.

56francesco · « **Risposta #13 il:** 11 Giu 2009, 09:31:49 »

Citazione

Del database no perchè non sono riuscito

Citazione

Dove può essere il problema?
da che parte saranno entrati?

ti sei risposto da solo....

nella schermata strana forse c'è una opzione per liberare il sito, prova a cercarla e se puoi prima fai delle stampe delle videate..

mattej · « **Risposta #14 il:** 11 Giu 2009, 09:44:17 »

Mi sembra un pò strano dal database altrimenti avrebbero potuto fare decisamente più danni.. c'è anche un forum in PHPbb sullo stesso DB e quello funziona senza problemi..
Provo a cercare questa funziona per ripristinare il tutto nel frattempo allego la schemata

[allegato eliminato da un amministratore perchè più vecchio di 365 giorni]

56francesco · « **Risposta #15 il:** 11 Giu 2009, 09:47:17 »

Citazione

Mi sembra un pò strano dal database altrimenti ..

hanno fatto esattamente quello che volevano e poi se ne sono andati...
non cambiarla se credi, dopotutto sono immagini che aggiornano spesso e anche carine da vedere..

tiè · « **Risposta #16 il:** 11 Giu 2009, 10:14:10 »

ti hanno installato una shell php sul server!
devi cambiare tutte le password ma proprio tutte, se non ti hanno danneggiato di più è perchè a loro basta così per dimostrare di essere bravi.

p.s. naturalmente è sgaragnao!

mattej · « **Risposta #17 il:** 11 Giu 2009, 10:20:56 »

Ma una volta modificate le PSS c'è un modo per riparare il sito o reinstallo tutto?

JoomlArt.eu · « **Risposta #18 il:** 11 Giu 2009, 10:21:48 »

con i backup del db e dello spazio web che esegui via ftp.

mattej · « **Risposta #19 il:** 11 Giu 2009, 10:28:16 »

Citazione da: paginiroger - 11 Giu 2009, 10:21:48

con i backup del db e dello spazio web che esegui via ftp.

Ovvio.. ma di ripararlo nemmeno pensarlo?

JoomlArt.eu · « **Risposta #20 il:** 11 Giu 2009, 10:40:52 »

una volta mi hanno bucato ma personalmente preferisco ripristinare i backup piuttosto che riparare il db...
non so bene cosa ti sia successo ma ti consiglio una volta che hai risolto di fare backup almeno almeno settimanali se non hai un servizio di hosting che te li fa giornalmente...e sopratutto di tenere sempre tutto aggiornato.

tiè · « **Risposta #21 il:** 11 Giu 2009, 11:08:07 »

Citazione da: mattej - 11 Giu 2009, 10:28:16

Citazione da: paginiroger - 11 Giu 2009, 10:21:48
con i backup del db e dello spazio web che esegui via ftp.
Ovvio.. ma di ripararlo nemmeno pensarlo?

se riesci a ripararlo, fallo; io non ho mai provato.
Probabilmente lo riparerei su una copia testuale di backup, oppure dal phpMyAdmin, magari quello a casa, ma cosa riparare? se sai cosa cambiare e con cosa, diventa facile, altrimenti è difficile!

angelcs · « **Risposta #22 il:** 11 Giu 2009, 20:19:47 »

Citazione da: mattej - 03 Giu 2009, 11:26:54

1.5.9
se la aggiorno alla .11 dite che risolvo qualcosa?

Ciao stavo leggendo questa brutta notizia, inoltre il sito ancora non funziona di conseguenza ti do il mio consiglio che credo ti rimette il sito in sesto.

Fai una copia dei file e del database completa e conservalo al sicuro che tra poco ti servira.

- Poi prendi la stessa versione di joomla che usi a estraila sul tuo pc.
- Confrontala con quella sul server.
- Se noti file diversi da quelli di joomla che hai sul server cancellali.
- Sovrascrivi tutti i file e cartelle con quel joomla che avevi scaricato dovrebbe bastare.

Se usi xammp questa prova la puoi fare prima sul tuo pc che sarebbe meglio.
Fammi sapere se risolvi

tiè · « **Risposta #23 il:** 11 Giu 2009, 20:31:13 »

ecco cosa ho trovato:

"Safe Mode

Safe Mode is the nemisis of PHP Shell. If PHP is running in Safe Mode then PHP Shell will normally not work — sorry. Please read the detailed explaination in the SECURITY file included in the PHP Shell distribution."

questo è il link:
http://phpshell.sourceforge.net/

che significa: se il php gira in safe-mode la shell php non funziona.

angelcs · « **Risposta #24 il:** 12 Giu 2009, 20:15:35 »

Suppongo che hai rimosso questo script...
Ma poi lo hai sistemato?

tiè · « **Risposta #25 il:** 12 Giu 2009, 20:17:35 »

il problema è di mattej non mio^^

angelcs · « **Risposta #26 il:** 12 Giu 2009, 21:42:58 »

giusto, non ci avevo fatto caso, scusami.

Spero per Mattej che ha risolto.
Comunque siamo qui per aiutarci a vicenda, come sono stato aiutato io a suo tempo adesso posso nel mio piccolo dare il mio contributo.

ciao

mattej · « **Risposta #27 il:** 13 Giu 2009, 00:42:43 »

ho abbandonato la strada del "riparare" il sito.. Con la scusa rifaccio tutto riorganizzando l'intero sito e inserendo tutte le modifiche che mi sono appuntato nel tempo..
Al momento ho provveduto a farmi cambiare le pss del DB, il resto è ancora in cantiere..
grazie comunque ragazzi..