Autore Topic: AIUTO SITO HACKERATO. (Letto 5347 volte)

vittoriop_2001 · « **il:** 06 Lug 2009, 10:43:35 »

Ciao ragazzi questo è quello che mi riporta il mio host:

Gentile Cliente,
il suo sito è stato utilizzato da hacker per l'invio di spam.
Come capirà il suo account in queste condizioni può rappresentere un serio problema per la sicurezza della macchina che lo ospita, provveda immediatamente all'aggiornamento all'ultima versione di joomla, dei plugin installati e di tutto il software utilizzato, altrimenti saremo costretti a sospendere l'account.

Che devo fà?

alexred · « **Risposta #1 il:** 06 Lug 2009, 10:45:45 »

aggiornare Joomla.
Hai ancora accesso FTP al server?
Quale versione di Joomla hai attualmente e quali componenti esterni hai installato?

frascan · « **Risposta #2 il:** 06 Lug 2009, 10:48:54 »

l'avviso è chiaro devi pianificare un aggiornamento generale del sito. ammesso che l'hackeraggio sia arrivato da joomla e non da altro.
oltre a joomla hai altro installato sul tuo sito?
quale versione di joomla hai e che componenti aggiuntivi utilizzi?

vittoriop_2001 · « **Risposta #3 il:** 06 Lug 2009, 10:55:37 »

Versione 1.5.11

COmponenti:
Acajoom
Alberghi
Banners
Chrono Contact
fireboard
Google maps
JComments
JEvents
JoomlaStats
Newsfeeds
OzioGallery
Polls
securityimages
Seyret
sh404sef
VirtueMart
Weblinks
Poi ho installato pcpin chat http://www.camigliatello-silano.it/Chat.html

Grazie per la rapida risposta e scusate il maiuscolo nel sito

vittoriop_2001 · « **Risposta #4 il:** 06 Lug 2009, 10:57:23 »

Ho accesso ftp

alexred · « **Risposta #5 il:** 06 Lug 2009, 10:58:24 »

quindi se hai ancora accesso FTP puoi aggiornare facilmente alla 1.5.12

Controlla le versioni di tutti questi componenti e verifica che siano le ultime versioni disponibili.

vittoriop_2001 · « **Risposta #6 il:** 06 Lug 2009, 10:59:01 »

ok aggiorno tutto o meglio provo speriamo bene.

Grazie vi faccio sapere

alexred · « **Risposta #7 il:** 06 Lug 2009, 11:01:53 »

chiedi anche al supporto tecnico che ti ha inviato quell'avviso se riescono a risalire dai log del server da quale applicazione del tuo sito sta partendo SPAM.
Se il sito è stato bucato.... può essere che anche aggiornando completamente Joomla e le estensioni lo SPAM continui a partire ugualmente.
Modifica tutte le password, quella per l'accesso al pannello amministratore e richiedi la modifica password dell'FTP e per l'accesso al database.

vittoriop_2001 · « **Risposta #8 il:** 06 Lug 2009, 11:05:02 »

via ftp ho qualche problema non tutto viene trasferito

frascan · « **Risposta #9 il:** 06 Lug 2009, 11:10:06 »

che stai cercando di trasferire?
in upload o in download hai problemi?

vittoriop_2001 · « **Risposta #10 il:** 06 Lug 2009, 11:16:11 »

Ho aggiornato alla versione 12. ho qualche problema in upload. Sembra che lo spam aveva installato una cartella ora il provider l'ha rimossa e forse tutto ritorna alla normalità. Ma per evitare questo cosa posso fare? ho usato tutte le misure possibili

frascan · « **Risposta #11 il:** 06 Lug 2009, 11:19:33 »

usi filezilla per caricare via ftp? se è così già altri hanno riscontrato problemi di upload con una versione di filezilla. c'è pure un topic qui sul forum in merito.
se risolve il provider il problema attuale a te non resta che tenere aggiornati il più possibile joomla ed i componenti installati.
riuscire a capire in che modo il sito è stato hackerato ti sarebbe molto di aiuto pure.

56francesco · « **Risposta #12 il:** 06 Lug 2009, 11:24:06 »

e come escludere che non sia un problema di sicurezza del server stesso?

in rete ho letto di diversi spammer che fanno sta cosa e che usano le credenziali di accesso ftp,

noialtri utenti più che cambiare spesso le credenziali (tutte) almeno una volta al mese non possiamo fare,
anche perchè se è un problema del server che è stato violato imho non lo diranno mai.

vittoriop_2001 · « **Risposta #13 il:** 06 Lug 2009, 11:30:45 »

Non so se è un problema del server chiederò. Ora mi hanno cancellato la cartella e riesco a caricare con file zilla via ftp. Ho aggiornato joomla all'ultima versione.
Ma come faccio a capire quando mi forano il sito?

Un grazie sincero a tutti voi per la rapidità

56francesco · « **Risposta #14 il:** 06 Lug 2009, 11:32:28 »

non hai detto se hai cambiato le credenziali di accesso ftp e database,
non basta cambiare quelle di accesso al pannello amministrazione..

vittoriop_2001 · « **Risposta #15 il:** 06 Lug 2009, 11:33:28 »

Questo mi riporta l'host

Salve,
non crediamo per il momento che sia necessario cambiare nessuna password, lo spam viene inviato utilizzando una vulnerabilità di questo file:
domains/camigliatello-silano.it/public_htm/includes/langeng.php

vittoriop_2001 · « **Risposta #16 il:** 06 Lug 2009, 11:35:15 »

Mi chiedono di rimuoverlo, cosa implica la rimozione?

frascan · « **Risposta #17 il:** 06 Lug 2009, 11:38:54 »

non mi risulta che questo file sia presente nella directory indicata dal provider e a dire la verità non so neppure se faccia parte dell'installazione di joomla. adesso vado a controllare un attimo se esiste.

vittoriop_2001 · « **Risposta #18 il:** 06 Lug 2009, 11:45:12 »

Ho fatto una copia del file e l'ho rimosso per ora. se non risposndo subito e perchè devo scappare al lavoro. nel primo pom vi risp.

Grazie

vittoriop_2001 · « **Risposta #19 il:** 06 Lug 2009, 11:46:59 »

Ora mi riportano questo
Nelle mail che tornano indietro perchè bloccate dal nostro sistema è chiaramente indicato lo script da cui partono:
X-PHP-Script: www.camigliatello-silano.it/includes/langeng.php for 89.242.8.253

Ciao