Autore Topic: codice spam nel sito mi date una mano? (Letto 11141 volte)

glm2006ITALY · « **il:** 16 Feb 2010, 18:19:01 »

Salve.

Sono un neofito di joomla!...

Una mia cliente ha un sito in joomla! a cui sta capitando questo:

nel codice sorgente di tutte le pagine appare un codice "nascosto" con decine e decine di frasi e link spam (*** e company)

Effettuato l'accesso, modificato il file index.php e tutto sembrava "risolto"

Sono passati 7 giorni e mi vedo apparire di nuovo il codice, un poco diverso , ma sempre sto maledetto codice!!!

---
<u style='display:none'>non *** prescription 
---

Il codice è stato "tagliato" se volete vederlo per "intero" basta che andiate su www.nauticapiu.net e visualizziate il codice sorgente.

Ho poca esperienza con joomla.... se qualcuno riesce a darmi una mano.. grazie di cuore

frascan · « **Risposta #1 il:** 16 Feb 2010, 19:02:18 »

Ciao.
Ma il sito in questione non lo hai sviluppato tu vero?
A me sembra fatto apposta quel lavoro lì anche perchè nel template c'è proprio un div chiamato left-shadow che è tutto dire ed è all'interno di quel div che è contenuto il codice incriminato.

glm2006ITALY · « **Risposta #2 il:** 16 Feb 2010, 19:04:53 »

No non sono lo sviluppatore

Ok ma ,scusa, se elimino questo "tag" e si ricrea non è un atteggiamento "normale" , no?

glm2006ITALY · « **Risposta #3 il:** 16 Feb 2010, 19:09:08 »

Oltrettutto che utilità avrebbe inserire decine di frasi/link spam nel codice? $:-\$

frascan · « **Risposta #4 il:** 16 Feb 2010, 19:09:19 »

Dipende dove lo stai eliminando il tag punto primo.

Punto secondo ed ancora più importante lo sviluppatore è ancora in possesso dei dati di accesso al pannello di amministrazione di joomla, al server e via dicendo?

mau_develop · « **Risposta #5 il:** 16 Feb 2010, 19:18:52 »

versione di joomla?

da dove viene quel template?

oltre a cancellare dovresti cambiare le password di:
-mysql
-ftp
-cpanel
-admin joomla
-user joomla

...cancellare serve a nulla se ha le chiavi di casa

M.

glm2006ITALY · « **Risposta #6 il:** 16 Feb 2010, 21:15:56 »

Ho eliminato tutti gli utenti tranne l'amministratore al quale ho sotituito la pass.

Quanto alle modifiche le ho fatte da "gestione temi" quindi modifica sorgente ed ho eliminato "a mano" il tutto

Devo chiedere al provider di cambiare tutto?

56francesco · « **Risposta #7 il:** 16 Feb 2010, 21:18:23 »

Citazione

Devo chiedere al provider di cambiare tutto?

se non hai un pannello gestione serio dal quale cambiare le credenziali di accesso al database e all'ftp allora si...
e poi dovrai modificare il configuration.php
sperando che nel frattempo che l'assistenza cambi e ti comunichi le nuovi credenziali ti lascino in pace..

glm2006ITALY · « **Risposta #8 il:** 16 Feb 2010, 21:24:58 »

Quindi mi confermate che il sito è "sotto attacco"?

Non c'è un log per controllare gli accessi a joomla (così ,credo, si possa capire se "l'amico" sfrutta una falla del server o accede comodamente dal pannello di joomla....)

56francesco · « **Risposta #9 il:** 16 Feb 2010, 21:27:43 »

Citazione

Quindi mi confermate che il sito è "sotto attacco"?

scusa ma dove lo leggi?
diciamo che è buona norma modificare le credenziali quando si vuole, in questo caso meglio volerlo..

anche se trattandosi di spammer saranno passati dal solito servizio esterno..

per i log credo che se stai su un hosting condiviso puoi solo chiedere (con poche speranze) che l'assistenza ti dica di più..

mau_develop · « **Risposta #10 il:** 16 Feb 2010, 21:29:28 »

lascia perdere di sprecare energie inutili.

cambia tutto ciò che ti ho detto,

aggiorna joomla se c'è da aggiornare,

aggiorna tutti i componenti (che sicuramente da qualche parte il buco c'è) ... ero convinto passasse dal template ma me lo sono scaricato e non vedo nulla di sfruttabile per fare quella cosa.

SE NON hai la 1.5.15 è il problema degli articoli, aggiorna.

non c'è null'altro da dire/fare

M.

glm2006ITALY · « **Risposta #11 il:** 16 Feb 2010, 21:31:30 »

ok... si effettivamente la ver. non è l'ultima

Ci sono "pericoli" nell'aggiornare?

Se copio tutti i file in locale basta come "backup" ?

56francesco · « **Risposta #12 il:** 16 Feb 2010, 21:36:25 »

non hai servizi esterni, strano.. i mancati aggiornamenti di joomla finora hanno agevolato altri tipi di attacchi mentre di questo tipo per mancati aggiornamenti sarebbe la prima volta che ne trovo citazione nel forum..
vedremo..
per caso avevi attivato l'ftp layer? se si disabilitalo, è sempre sconsigliato.

glm2006ITALY · « **Risposta #13 il:** 16 Feb 2010, 21:46:40 »

dove posso controllare?

glm2006ITALY · « **Risposta #14 il:** 16 Feb 2010, 21:47:42 »

La ver. di joomla è la 1.5.10

mau_develop · « **Risposta #15 il:** 16 Feb 2010, 22:03:10 »

...apposto, non cercare nemmeno da dove sono passati, te lo dico io... ovunque.

cambia anche quelle delle caselle mail associate al dominio.

M.

glm2006ITALY · « **Risposta #16 il:** 16 Feb 2010, 22:12:43 »

Che bello $:-\$

Prima cosa devo cercare di capire i dati di accesso FTP...

in queste condizioni cosa mi conviene fare per primo, aggiornare?

mau_develop · « **Risposta #17 il:** 16 Feb 2010, 22:23:09 »

...togliere quei due hoster sennò te magnano

M.

ps ma chi ha scritto il replace automatico

siete cattivi solo con sgargaragnaubau? nn'è giusto

glm2006ITALY · « **Risposta #18 il:** 16 Feb 2010, 22:29:20 »

Tolti, scusate

mau_develop · « **Risposta #19 il:** 16 Feb 2010, 22:34:14 »

se puoi porta tutto in locale e fai tutte le operazioni lì.

poi pialli qualunque cosa in remoto, db compreso

rifai l'upload

M.

ps tieniti sempre copie di backup

Autore Topic: codice spam nel sito mi date una mano? (Letto 11141 volte)

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop