codice spam nel sito mi date una mano?

[glm2006ITALY]

Salve.

Sono un neofito di joomla!...

Una mia cliente ha  un sito in joomla! a cui sta capitando questo:

nel codice sorgente di tutte le pagine appare un codice "nascosto" con decine e decine di frasi e link spam (*** e company)

Effettuato l'accesso, modificato il file index.php e tutto sembrava "risolto"

Sono passati 7 giorni e mi vedo apparire di nuovo il codice, un poco diverso , ma sempre sto maledetto codice!!!

---
<!-- Begin News --><u style='display:none'>non *** prescription <!-- End News -->
---

Il codice  è stato "tagliato" se volete vederlo per "intero" basta che andiate su www.nauticapiu.net e visualizziate il codice sorgente.

Ho poca esperienza con joomla.... se qualcuno riesce a darmi una mano.. grazie di cuore 

[frascan]

Ciao.
Ma il sito in questione non lo hai sviluppato tu vero?
A me sembra fatto apposta quel lavoro lì anche perchè nel template c'è proprio un div chiamato left-shadow che è tutto dire ed è all'interno di quel div che è contenuto il codice incriminato.

[glm2006ITALY]

No non sono lo sviluppatore

Ok ma ,scusa, se elimino questo "tag" e si ricrea non è un atteggiamento "normale" , no?

[glm2006ITALY]

Oltrettutto  che utilità avrebbe inserire decine di frasi/link spam nel codice? 

[frascan]

Dipende dove lo stai eliminando il tag punto primo.

Punto secondo ed ancora più importante lo sviluppatore è ancora in possesso dei dati di accesso al pannello di amministrazione di joomla, al server e via dicendo?

[mau_develop]

versione di joomla?

da dove viene quel template?

oltre a cancellare dovresti cambiare le password di:
-mysql
-ftp
-cpanel
-admin joomla
-user joomla

...cancellare serve a nulla se ha le chiavi di casa

M.

[glm2006ITALY]

Ho eliminato tutti gli utenti tranne l'amministratore al quale ho sotituito la pass.

Quanto alle modifiche le ho fatte da "gestione temi" quindi modifica sorgente ed ho eliminato "a mano" il tutto

Devo chiedere al provider di cambiare tutto?

[56francesco]

Devo chiedere al provider di cambiare tutto?

se non hai un pannello gestione serio dal quale cambiare le credenziali di accesso al database e all'ftp allora si...
e poi dovrai modificare il configuration.php
sperando che nel frattempo che l'assistenza cambi e ti comunichi le nuovi credenziali ti lascino in pace..

[glm2006ITALY]

Quindi mi confermate che il sito è "sotto attacco"?

Non c'è un log per controllare gli accessi a joomla (così ,credo, si possa capire se "l'amico" sfrutta una falla del server o accede comodamente dal pannello di joomla....)

[56francesco]

Quindi mi confermate che il sito è "sotto attacco"?

scusa ma dove lo leggi?
diciamo che è buona norma modificare le credenziali quando si vuole, in questo caso meglio volerlo..

anche se trattandosi di spammer saranno passati dal solito servizio esterno..

per i log credo che se stai su un hosting condiviso puoi solo chiedere (con poche speranze) che l'assistenza ti dica di più..

[mau_develop]

lascia perdere di sprecare energie inutili.

cambia tutto ciò che ti ho detto,

aggiorna joomla se c'è da aggiornare,

aggiorna tutti i componenti (che sicuramente da qualche parte il buco c'è) ... ero convinto passasse dal template ma me lo sono scaricato e non vedo nulla di sfruttabile per fare quella cosa.

SE NON hai la 1.5.15 è il problema degli articoli, aggiorna.

non c'è null'altro da dire/fare

M.

[glm2006ITALY]

ok... si effettivamente la ver. non è l'ultima

Ci sono "pericoli" nell'aggiornare?

Se copio tutti i file  in locale basta come "backup" ?

[56francesco]

non hai servizi esterni, strano.. i mancati aggiornamenti di joomla finora hanno agevolato altri tipi di attacchi mentre di questo tipo per mancati aggiornamenti sarebbe la prima volta che ne trovo citazione nel forum..
vedremo..
per caso avevi attivato l'ftp layer? se si disabilitalo, è sempre sconsigliato.

[glm2006ITALY]

dove posso controllare?

[glm2006ITALY]

La ver. di joomla è la 1.5.10

[mau_develop]

...apposto, non cercare nemmeno da dove sono passati, te lo dico io... ovunque.

cambia anche quelle delle caselle mail associate al dominio.

M.

[glm2006ITALY]

Che bello 

Prima cosa devo cercare di capire i dati di accesso FTP...

in queste condizioni cosa mi conviene fare per primo, aggiornare?

[mau_develop]

...togliere quei due hoster sennò te magnano

M.

ps ma chi ha scritto il replace automatico

siete cattivi solo con sgargaragnaubau? nn'è giusto

[glm2006ITALY]

Tolti, scusate 

[mau_develop]

se puoi porta tutto in locale e fai tutte le operazioni lì.

poi pialli qualunque cosa in remoto, db compreso

rifai l'upload

M.

ps tieniti sempre copie di backup

[glm2006ITALY]

ok quindi installo phpmyadmin.. ma ,mi chiedevo, se faccio copia in locale semplicemente trasferendo tutto con Filezilla è un "backup completo" o con questo metodo si "perde" qualcosa?

[mau_develop]

il database

[glm2006ITALY]

il database

Ecco e questo come lo salvo?

Purtroppo esperienza "pratica" non ne ho con i database

[mau_develop]

aia! ... amici a cui rompere le scatole? ... cuggino smanettone?

non è difficilissimo ma mi sento un po' negato ultimamente a teleguidare le persone

prova a cercare sul forum le guide di spostamento del sito, in fondo è quello che devi fare...

M.

[glm2006ITALY]

Ok allora ci dò una occhiata....

Grazie!

[glm2006ITALY]

Allora sto mettendo "mano" ai file

Ho scaricato il file "configuration.php"

Ho trovato un paio di "righe" un pò sospette
var $mailfrom = 'mail del precedente creatore delsito.com';
   var $fromname = 'Nome della società';

----

cioè sto qui si faceva arrivare le mail dal sito a nome dell'azienda?

Poi  più avanti
var $ftp_user = '*****';
   var $ftp_pass = '*******';

Devo inserire gli stessi dati che ho inserito in filezilla?

No perchè dovrebbero già essere non corretti 

[glm2006ITALY]

Eccomi di nuovo a  "disturbare"

Allora l'assistenza dell'hosting mi ha consigliato di distruggere i database MySQL e ricrearli

Ma facendo così non perdo anche i dati?

Help please 

[frascan]

eh si facendo così perdi tutti i contenuti del sito su questo non ci piove.

prima di distruggere tutto devi analizzare dove sta il problema e non è detto che sia nel database.

[56francesco]

Eccomi di nuovo a  "disturbare"

Allora l'assistenza dell'hosting mi ha consigliato di distruggere i database MySQL e ricrearli

Ma facendo così non perdo anche i dati?

Help please 

prova ad aprire una copia con un editor come notepad++
ci sono anche delle funzioni macro nell'editor, non ti è difficile individuare una delle tante righe spam e cancellare tutte quelle uguali con un solo clic

ma sei sicuro che ti risponda un tecnico? secondo me ste risposte lasciano a desiderare...
e puoi dirglierlo, nèèèèèè


ps
anche se gli spammer di solito non inseriscono trojan e virus (ma solo le loro sozze stringhe per salire nei motori di ricerca) è preferibile se l'operazione di cui sopra la fai con un antivirus win attivo ed aggiornato o meglio ancora in una ripartizione linux del tuo pc magari installati ad ubuntu che quei cosi maligni per win gli fa neanche solletico..

[glm2006ITALY]

Mah sto cercando volentieri di "scaricare il barile" su chi ha creato il sito... se il "fattaccio" è dovuto a cattiva "manutenzione" se la veda chi ha fatto il "pastrocchio".... 

[56francesco]

se c'era un contratto di aggiornamento allora si, qualcuno non ha fatto il suo dovere..
chi fa il sito non è che poi deve aggiornare per condanna.. si paga un qualcosa per il servizio quantomeno.
 

[mau_develop]

se il "fattaccio" è dovuto a cattiva "manutenzione"
---------------------------------------------------
...non sto a giudicare il lavoro di altri, sicuramente quel sito non è stato aggiornato, cosa che chi installa un cms dovrebbe sapere, e questo ha causato la vulnerabilità.

Io invece cercherei di fare il discorso opposto, lavarsene le mani non è mai un buon segno, il cliente ha un problema e tu glielo risolvi, però quì il problema ha altre dimensioni, per cui fai conto di non voler/saper riparare nulla...
bisogna reinstallare l'ultima versione e con santa pazienza trasferire i contenuti e il template, e questo ha un costo diverso.

Sarà poi la società che si prenderà in carico o di chieder conto al tuo predecessore o di ringraziarti perchè li levi dalla cacca e pagarti col sorriso.

...mi sembra più proficuo in un momento in cui saltare addosso a quel poco che c'è diventa cosa buona e giusta

M.

[glm2006ITALY]

No è che quando ho avvisato di quanto è capitato i proprietari del sito non fanno i "salti di gioia" 

Giustamente non vogliono spendere altri soldi e vogliono farselo mettere a "posto" da chi , secondo loro, gli ha "mollati" senza dare assistenza 

[56francesco]

Giustamente non vogliono spendere altri soldi e vogliono farselo mettere a "posto" da chi , secondo loro, gli ha "mollati" senza dare assistenza

non è corretto in un forum pubblico parlare di chi non c'è!

ripeto, l'assistenza si paga, se hanno pagato senza ottenere si rivolgano al legale.
e perchè sia chiaro, chiudo.