Joomla.it Forum
Non solo Joomla... => Sicurezza => : lallo 09 Jun 2010, 10:48:43
-
Aiutatemi vi prego.
Ho preso un virus sulla mia "../administrator/index.php".
Sapete dirmi come faccio a risolverlo ? Grazie.
-
potrebbe essere un falso positivo,
puoi dare altri particolari?
versione di joomla, messaggio restituito dall'antivirus, un link al sito
ecc..
??
-
Allora
Versione di Joomla: 1.5.14
Messaggio Antivirus: Mi esce solo quando cerco di scaricare il file di backup (Impossibile salvare ... /administrator/index.php
Sito: http://www.dimartinonicola.it (Ma non ho nessun tipo di problema, almeno momentaneamente)
Credo che il virus si sia attivato così. Stamattina mi chiama il "cliente" dicendo che gli è arrivata una mail per il reset della password, e doveva cliccare su un link ed inserire il codice. L'ha fatto. E quando ho provato ad entrare nel pannello admin, per magia la password edra cambiata e ho dovuto reimpostarla dalla tabella con MySql. Però ho pensato di fare subito una copia di backup e quando ho provato a scaricarla mi ha dato il messaggio che ho scritto sopra ?
Di cosa si tratta ? Devo preoccuparmi ? E' una cosa che si può risolvere ? Grazie per l'aiuto
-
Versione di Joomla: 1.5.14
comincerei con aggiornare.....
siamo alla 1.5.18 ora
con quale antivirus sarebbe anche un dato fondamentale?
hai provato con un antivirus diverso da un pc diverso?
-
Eh si lo so che dovrei aggiornare :P
Ho avast home edition.
Non ho ancora provato, ma potrei provare da un PC con kaspersky.
Oppure da un pc senza alcun antivir.
Ma una volta fatto ciò ? Come risolvo il mio problema ?
-
sia bene che in un sistema open non essendoci il famigerato registro di sistema che ha win (sul quale basano tutti la propria esperienza e di conseguenza la propria conoscenza) un qualsiasi malware non resiste ad una cancellazione, quindi da un pc sicuramente non infetto basta spianare le cartelle dentro il quale ci sarebbe il file sospetto e reinstallare la cartella originale..
anche la semplice sovrascrittura dei files potrebbe ammazzare la bestiaccia qualora avesse preso il nome di un files oggetto di aggiornamento..
comincerei con l'aggiornare,
al massimo per scrupolo in queste situazioni è bene modificare le credenziali di accesso, tutte, ftp e database compresi e fare delle copie mettendole in un posto sicuro, magari con e dentro un sistema operativo linux ad esempio ubuntu
-
Ok dai allora provvedo con l'aggiornamento. Poi nel caso ci siano ancora problemi "riposto". Grazie mille
-
Ho eseguito l'aggiornamento alla 1.5.17, eseguito di nuovo il backup, ma il messaggio che mi compare al momento del download è sempre lo stesso.
Nello specifico:
CAVALLO DI TROIA BLOCCATO
oggetto: http://.../administrator/index.php|>{gzip}|>xmlrpc\rpc.php
Infezione: PHP:C99Shell-F [Trj]
Cosa posso fare ?
-
bene, allora non è un virus ma abbiamo scoperto che è un trojan
avviserei/chiederei alla assistenza hosting di intervenire per ripulire tutto, probabilmente non farlo ti esporrebbe ad eventuale risarcimento danni quindi non indugiare oltre o consiglia il tuo cliente di farlo immediatamente
nb
ovviamente se ti connetti con un so win la bestiaccia ti aggredisce ma se mi connettessi io con ubuntu quasi sicuramente non avrei alcun problema a scannarlo via ftp...
consiglia anche di ripulire il pc al tuo cliente, sicuramente ce lo tiene dentro magari in un rotokit, chi può saperlo?
-
grazie per l'aiuto francesco. E senti se lo volessi fare io tramite ftp con un sistema ubuntu o linux, come dovrei fare ? Siccome da ciò che ho capito è la mia pagina di administrator, ci sarebbe qualche problema sul sito ?
Poi ti volevo chiedere,qualora chiedessi all'assistenza hosting di ripulire il tutto, mi verrebbero cancellati tutti i files e dovrei fare tutto da capo ?
-
Poi ti volevo chiedere,qualora chiedessi all'assistenza hosting di ripulire il tutto, mi verrebbero cancellati tutti i files e dovrei fare tutto da capo ?
come sopra, non la considero una opzione ma un preciso dovere avvisarli...
valuteranno loro l'intervento più appropriato e necessario, magari ti sistemano tutto o magari ti ricaricano una copia valida..
allestire una ripartizione ubuntu con filezilla non ci vuole molto ma direi che va fatto in situazione di calma e non di emergenza, potrebbe risultare una pessima esperienza e comunque non è un argomento it in questo forum, risolvi per ora il problema poi semmai ci pensi..
-
Francesco, ti voglio ringraziare per l'aiuto. Ho contattato chi di dovere e mi hanno aiutato ad eliminare l'infezione senza dover cancellare nulla. Grazie