Sito nuovamente infetto

[fabridal]

Dopo 2 mesi di pulizia e controlli vari, mi ritrovo punto e da capo nella medesima situazione...
Segnalato sito web malevolo

segnala le pagine sospette:

http://www.tuttovolley .org/index.php
http://www.tuttovolley .org/index.php?limitstart=25

0- ho sostituito la index.php con quella pulita dell'installazione, ma l'altra che pagina è?
1- Ho aperto un ticket all'hosting per fargli effettuare controllo e verifica
2- ho cambiato password varie ed eliminato e ricreato superadministrator
3- ho chiesto verifica a google dei contenuti del sito
4- Dovrò necessariamente eliminare e reinstallare tutto ciò che concerne joomla? il contenuto statico html (ho alcune gallery esterne) e gli mp3 posso lasciarli sull'ftp?
5- Riguardo il mysql, come  faccio a verificare i contenuti se sono stati intaccati, qualora possano essere intaccati..e se si, dovrò esportare e reimportare il database?
6- Uso un modulo per le statistiche di shinystat, può causare danni?
7- Avevo appena aggiornato la versione alla .15

Intanto vi lascio con questi spunti,consapevole del vostro imprescindibile aiuto e conscio del fatto che entro stasera devo risolvere tutto, onde evitare figuracce con gli utenti...
Grazie

[fabridal]

Ho reinstallato joomla con relativo database...avevo lasciato sul server tutte le pagine html di gallery esterne a joomla...fatto sta che google mi dice che quelle pagine statiche html sono infette...

Ora cosa dovrei fare?reinstallare tutte quelle pagine???

Helpp...non si può andare avanti così...

[gippy88]

fai un'installazione vergine, dopo gli carichi il database.
controlla bene i permessi delle cartelle e stai ben attento a non caricare tuoi file già malevoli.

attento ai componenti che usi.

segui le regole d'oro.
controlla la cartella images potrebbe esserci un file gifimg.php.

[marco_g]

Ciao, prova a seguire questa guida e fammi sapere se funziona

[fabridal]

Ho reinstallato joomla e sovrascritto tutte le pagine html presenti nel sito con quelle pulite...oggi il mio contatore visite mi segnala 150 visite quasi tutte dagli Stati Uniti...ora non so veramente più che fare, google mi da ancora pagine infette e non rimuove la cavolo di segnalazione...

Sono praticamente senza più speranze...

[marco_g]

Presumo che tu non debba sovrascrivere, ma dovresti svuotare la cartella public e caricare l'ultima versione stabile disponibile, la 1.5.15
e comunque google dice:
Se sei il proprietario di questo sito web, è possibile chiedere una revisione del vostro sito utilizzando Google Webmaster Tools. Maggiori informazioni sul processo di revisione è disponibile in Google Centro assistenza webmaster.

[gippy88]

dopo nottate passate a ripristinare inutilmente i miei siti ho trovato la soluzione definitiva.

ovviamente seguire tutte le procedure per rendere sicuro joomla.

quando invece queste precauzioni nn sono bastate fai cosi,
prendi il pacchetto joomla 1.5.15 vergine lo estrai
prendi tutte le cartelle tranne installation e configuration.php.

(nel caso utilizzi ja_purity o altri strandard escludi la cartella template)

dopo di che carichi tutto sul tuo sito in questo modo gli eventuali file infetti verranno riscritti cn quelli puliti.


fatto questo però le cartelle con componenti che nn sono quelli di default nn saranno riscritte quindi...

{scriverò i nomi di file e script malevoli con gli spazii}


scarica tutto il sito in locale in una cartella e fai prima un trova:

gifimg.php   (che è il nome di un file che si trova sempre nei siti infetti, sempre nelle cartelle images, nn ho capito il perchè)

dopo di che per trovare gli script nelle pagine php del sito puoi fare da terminale, dopo esserti posizionato nella cartella desiderata e da root

grep .6 4.6 f.6 3 * -rin

quei numeri sono l'inizio di uno script malevolo (togliere gli spazii)


in questo modo troverai tutti i file infetti e potrai rimpiazzarli.

puoi sostituire a quei numeri altre parti dello script malevolo.

nel caso non utilizzi un sistema operativo linux based credo che esista un programma che faccia la riceca nei file.



GOOD LUCK!