Attacco ad un sito, cosa posso controllare

[ilenia]

Ho scatenato un putiferio.....
 

Sai cos'è una shell? tipo la r57?

No, non so cos'è e penso che non vorrei nemmeno addentrarmi così tanto.
Il log del server, non di joomla, ce l'ho, e ci sono delle righe che secondo me sono quelle incriminate, ma diciamo che non sò "leggerlo più di tanto". voglio dire, avendo l'ip di chi ha fatto questa riga, che ci faccio?

91.212.127.250 - - [21/Dec/2009:12:49:44 +0100] "POST /post.php HTTP/1.0" 200 182 "-" "Mozilla/4.0 (compatible; Synapse)"

Il safe mode era impostato a OFF, e l'avevo chiesto io, di default è su ON.
l'avevo richiesto perchè mi ricordavo che c'erano dei componenti che non si installano se il safe mode è ON.
Adesso dopo il secondo attacco è stato rimesso a ON e vediamo cosa succede così.
comunque ribadisco a tutti un grazie per la considerazione e vi auguro buone feste.

[mau_develop]

Putiferio? naaa
a me piace disquisire di queste cose.
E sì, anche joomla predilige safemode off per l'installazione di componenti, così se ho dei problemi tenendolo on, li installo prima in locale e poi uppo tutto. ma non ci rinuncio.

avendo l'ip di chi ha fatto questa riga, che ci faccio?
91.212.127.250 - - [21/Dec/2009:12:49:44 +0100] "POST /post.php HTTP/1.0" 200 182 "-" "Mozilla/4.0 (compatible; Synapse)"

...non è tanto l'ip, che probabilmente proviene da altri siti bucati o da un proxi, ma le request lanciate, che indicano da dove è passato o ti da un'idea: qs. POST /post.php , se hai trovato un file post.php nella cartella httpdocs, vuol dire che ha fatto una richiesta POST a tale file, quindi ci deve essere qualcosa prima.
Cerca tutte le attività di quell'ip (sempre che la faccenda non si complichi perchè magari lo ha cambiato).
Controlla soprattutto le righe dove trovi la path administrator/ e non riconosci il tuo ip.
...comunque post.php mi ricorda una vecchia vulnerabilità di wp.

..auguri! ... in tutti i sensi, vista l'ora e il gg

M.