Joomla.it Forum
Non solo Joomla... => Sicurezza => : Fabio111 23 Nov 2010, 10:04:36
-
Salve a tutti,
Sono nuovo e non so bene come funzioni, ho usato il tasto cerca ma non ho trovato le risposte che cercavo :) .
Volevo chiedervi come posso risolvere questo problema sul sito " http://www.labronica.org " è un sito della società dove alleno e volevamo aggiornarlo.
Dispongo del login admin
aspetto vostre notizie
Saluti Fabio
-
"Segnalato sito malevolo" ... è passato google ed ha trovato del malware nel codice
devi rimuovere il codice malevolo (spesso si trova nel file index.php) e poi segnalare a google (da strumenti webmaster) che verifichi che il codice è "pulito"
la cosa migliore è ripristinare un backup dei file, non si sa mai se in qualche file hanno inserito delle backdoor
-
ciao Fabio111,
che versione di Joomla utilizzi su quel sito?
Hai qualche estensione esterna installata?
Spesso questi problemi derivano dal fatto di non avere l'ultima versione di Joomla e le estensioni aggiornate.
-
Ragazzi per me è arabo non ci capisco nulla :( mi hanno appena passato user e psw perchè loro non vogliono + occuparsene... quindi sono al + completo sbando :'(
Se potete aiutarmi in maniera molto niubba quindi passo passo tipo mano ok XD se no non mi rimane altro che lasciarlo allo sbando :(
-
...guarda... qs è base base...
http://forum.joomla.it/index.php/topic,117151.0.html
M.
-
ha solo l'accesso di admin?
-
ha solo l'accesso di admin?
Si solo accesso admin cosa dove procurarmi? programi quali? e per fare il backup del sito come faccio?
se volete vi do la psw se potete aiutarmi meglio XD
-
devi procurarti i dati ftp del database e l'accesso al pannello dell'hosting intanto controlla la versione di joomla installata accedendo al pannello di controllo la leggi in alto a destra, come software basta un ftp consiglio filezilla http://filezilla-project.org/ (http://filezilla-project.org/) scarichi la versione client
-
Ragazzi mi serve una comunicazione + rapida XD
google la mia email è baroncinifabio@gmail.com
se no ho skype o msn
cmq versione 1.5.8 cavolo quanto mi sento ignorante in materia :(
-
modifica: 'non ci avevo pensato' puoi entrare nella chat qui del sito in alto a destra sotto il campo ricerca
-
modifica: 'non ci avevo pensato' puoi entrare nella chat qui del sito in alto a destra sotto il campo ricerca
Dice che il mio nickname non esiste lol e se entro come ospite dice che gli ospiti non possono entrare se nn registrati e sn registrato e anche online ( connesso ) BAH
-
Messaggio di errore al log con FileZilla
Stato: Risoluzione dell'indirizzo IP www.labronica.org in corso
Stato: Connessione a 89.188.136.42:21...
Stato: Connessione stabilita, in attesa del messaggio di benvenuto...
Risposta: 220 ProFTPD 1.3.0 Server (xxxxxxxxxxxxxxxxx) [89.188.136.42]
Comando: USER admin
Risposta: 331 Password required for admin.
Comando: PASS ***********
Risposta: 530 Login incorrect.
Errore: Errore grave
Errore: Impossibile collegarsi al server
-
non devi mettere www. ma solo labronica.org
-
non devi mettere www. ma solo labronica.org
sempre errore :(
-
L'errore è nelle credenziali che non riconosce, invece la connessione viene stabilita, devi mettere le credenziali giuste che evidentemente non sono quelle, quindi inutile accanirsi.
-
L'errore è nelle credenziali che non riconosce, invece la connessione viene stabilita, devi mettere le credenziali giuste che evidentemente non sono quelle, quindi inutile accanirsi.
Dite che sarebbe meglio cancellare il sito e rifarlo da nuovo? di altri dati nessuno ne ha...
credevo che con user Admin e la password potevo accedere a tutto
-
per rifare il sito da zero comunque devi disporre delle credenziali di accesso al pannello del tuo hosting
-
Le credenziali che tu stai immettendo sono le credenziali di accesso per il pannello di amministrazione di joomla e non le credenziali di accesso ftp.
Come prima cosa è assolutamente necessario recuperare tutte le credenziali di accesso dell'hosting e questo lo puoi fare tranquillamente contattando il supporto tecnico del tuo fornitore di hosting che ti fornirà di nuovo tuttoquello che ti serve.
Una volta recuperati i dati allora si può passare alla fase 2 che è quella di capire cosa sia successo al sito.
La versione di joomla utilizzata 1.5.8 attualmente siamo alla 1.5.22 è troppo datata e va assolutamente aggiornata.
-
Le credenziali che tu stai immettendo sono le credenziali di accesso per il pannello di amministrazione di joomla e non le credenziali di accesso ftp.
Come prima cosa è assolutamente necessario recuperare tutte le credenziali di accesso dell'hosting e questo lo puoi fare tranquillamente contattando il supporto tecnico del tuo fornitore di hosting che ti fornirà di nuovo tuttoquello che ti serve.
ma il mio Fornitore non è questo Joomla? se si come faccio se no come capisco chi mi hosta? mi è stato piombato questo sito che a nessuno frega dai genitori e deh io che fo il geometra di queste cose nn ne capisco nulla :S .
Una volta recuperati i dati allora si può passare alla fase 2 che è quella di capire cosa sia successo al sito.
La versione di joomla utilizzata 1.5.8 attualmente siamo alla 1.5.22 è troppo datata e va assolutamente aggiornata.
Come aggiorno alla .22?
-
Come aggiorno alla .22?
con un client ftp e avendo i dati di accesso ftp (user e password)
da un post precedente
Messaggio di errore al log con FileZilla
Stato: Risoluzione dell'indirizzo IP www.labronica.org in corso
Stato: Connessione a 89.188.136.42:21...
Stato: Connessione stabilita, in attesa del messaggio di benvenuto...
Risposta: 220 ProFTPD 1.3.0 Server (xxxxxxxxxxxxxxxxxxxxx) [89.188.136.42]
Comando: USER admin
Risposta: 331 Password required for admin.
Comando: PASS ***********
Risposta: 530 Login incorrect.
Errore: Errore grave
Errore: Impossibile collegarsi al server
il tuo fornitore hosting dovrebbe essere xxxxxxxxxxxxxxxxxx
-
Ma di chi è questo sito? Chi te l'ha girata questa patata bollente non ha i dati di accesso?
Nel momento in cui si registra un sito e si acquista uno spazio web per ospitarlo si indica anche una persona che si intesta il sito e fornisce un indirizzo mail mediante il quale avvengono le comunicazioni con il fornitore di hosting. Quindi qualcuno esiste che ha tali dati.
Cerca di risalire alla persona che ha registrato il sito la prima volta. Lui dovrebbe avere quello che ti serve.
Joomla invece è il ... chiamamolo ... "programma" che ti permette di realizzare e gestire il sito.
Per restare nel tuo ambito lavorativo possiamo dire che l'hosting è il terreno su cui costruire e joomla è la casa che devi costruire. Ora se prima non metti a posto il terreno su cui costruire, questa casa non potrà mai stare in piedi.
Senza i dati di accesso all'hosting (terreno) la ristrutturazione di questa casa (joomla) non si può fare.
Quindi direi di scomporre il problema grosso (sito infettato) in problemi più piccoli e procedere per gradi.
Primo problema ottenere i dati di accesso all'hosting. Risolto questo si passa al problema successivo. :)
-
... chi ha registrato il sito ha anche "nascosto" le credenziali del "proprietario" ...
in ogni caso qualcuno ha pagato per il servizio (e scadrà nel 2012 ...) forse ha anche i dati di accesso ;)
-
Da tener presente anche che l'hosting non fornirà i dati a chicchesia, ma solo all'intestatario propietario legittimo del dominio.
Come ultima possibilità darei un occhiata al configuration.php chissà se chi gestiva prima il sito abbia immesso i valori per il layer FTP
-
Ragazzi,
Vi ringrazio tutti di cuore sto vedendo la luce i dati me li hanno passati compreso una guida per risolvere il problema siete stati gentilissimi tutti
Ora proseguo con una persona in privato ( perchè ho commesso delle infrazioni su quello che posso o non posso pubblicare qui ) almeno spero di risolverlo.
Ancora mille grazie a tutti
un Saluto Fabio
-
Bene adesso che hai i dati di accesso devi per prima cosa fare un backup del sito e poi procedere all'aggiornamento della versione.
Di seguito tre link che dovrebbero fornirti tutte le indicazioni necessarie per le varie procedure:
http://www.joomla.it/articoli-della-community/3754-filezilla-il-migliore-client-ftp-gratuito.html
http://wiki.joomla.it/index.php?title=Backup_del_proprio_sito
http://wiki.joomla.it/index.php?title=Aggiornamento_da_una_versione_esistente_di_Joomla_1.5
Per quanto riguarda la verifica del sito se è stato bucato o meno resta valida la guida che ti ha indicato mau_develop qualche post fa.
In ogni caso visto che ti ritrovi questa patata bollente e sei inesperto prima di fare qualsiasi cosa documentati. Molto utile la sezione primi passi di joomla.it dove trovi il necessario per prendere confidenza con il sistema joomla:
http://wiki.joomla.it/index.php?title=Primi_passi_per_Joomla_1.5
E dulcis in fundo hai il forum per chiarimenti e supporto qualora dovessi trovarti in difficoltà
-
Allora ormai vi rendo partecipi.
Il sito è stato bucato ( ta-dannnnnn ) mi sta aiutando FraScan anche perchè io non ci capirei nulla al primo tentativo di riuscita sembrava funzionare ma nulla per quanto riguarda il secondo tentativo per vedere i danni è in progress quindi il sito è aggiornato alla .22 scaricato anche la copia di backup ora si vede i prossimi sviluppi :)
Notizie al più presto ;)
Ciao a Todos
-
Posto la procedura eseguita affichè possa essere di aiuto ad altri che dovessero trovarsi nella stessa situazione con l'avvertenza di non metterla in atto se non si sa dove si devono mettere le mani.
Il sito in questione è un sito abbastanza semplice. Installazione di joomla ed un unico componente aggiuntivo la oziogallery. Problema non da poco però: nessun backup.
Scaricati tutti i files e le cartelle di joomla in locale ed il .sql del database (su pc "muletto" per evitare possibili infezioni ai pc su cui lavoro).
Verifica sul server dei files e delle cartelle con date di ultima modifica diverse e successive alla presunta data di installazione di joomla.
Scansione con AVG e Avast di tutti i files e le cartelle scaricate con esito negativo. Nessun virus rilevato.
Si passa quindi all'esame dei files con date di modifica decisamente successive alla data della maggior parte dei files. Nel file index.php del template in uso e nel file index.php nella root di joomla ho trovato del codice criptato che iniziava con "eval (base64_decode" e che generava dei rediret verso altri siti.
Rimozione del codice criptato da tali files.
Poi con Notepad++ funzione "Cerca nei file" lancio varie procedure di ricerca delle stringhe di codice: "eval (base64_decode"; "eval"; "base64", "decode" in modo da verificare se il codice in questione è presente anche in altri files. Ne trovo 17 di files con il codice criptato. Ripuliti tutti e 17. Uno di questi files img.php è un files che nulla a a che vedere con joomla e si trova nella cartella images di joomla. Ritengo che sia questo quello che aveva la funzione di rigenerare l'infezione per cui lo elimino.
Ripetizione varie volte della procedura sopra descritta per accertarmi che non ci fosse più codice criptato.
Verifica di eventuali files sospetti nelle cartelle e sottocartelle presenti in images.
Elimino dal server files e cartelle di joomla esistenti e ricarico quelli ripuliti.
Aggiorno dalla versione 1.5.8 alla versione 1.5.22. Verifico che l'aggiornamento sia andato a buon fine e scarico un pacchetto completo di joomla 1.5.22 e vado a sovrascrivere tutti i files e le cartelle nuovamente.
Stesso discorso fatto per la oziogallery con aggiornamento e riscrittura dei files.
Attualmente il sito sembra a posto anche se viene segnalato da google come sito non sicuro ed in firefox e chrome appare la classica pagina che invita ad allontanarsi dal sito per cui bisogna forzarne l'apertura. IE7 invece lo apre senza nessun avviso.
Verifica del chmod a files e cartelle che è impostate su 755 per le cartelle e su 644 per i files.
Avviata la procedura di Riconsiderazione del sito web con Google. Adesso si attende che big G dia il suo responso finale per capire se è tutto a posto o bisogna ritornare a metterci le mani sopra.
Ovviamente una simile procedura non garantisce la rimozione totale di tutto il codice malevolo inoculato in quanto potrebbe esserci altro codice malevolo che non contiene le stringhe di cui si è detto sopra.
Si tratta di una procedura alquanto laboriosa che va per tentativi, ma in mancanza di un backup precedente del sito non mi è venuto in mente nient'altro se non rifare da zero il sito. Detto per inciso cosa fattibile visto che il sito non zeppo di contenuti quindi in un paio di giorni credo che si rimetterebbe su a partire da zero. Ma ho colto questa occasione per mettere in pratica concretamente e sperimentare in prima persona una simile procedura che nella sostanza è quella suggerita da mau_develop nel post segnalato sopra.
Non ritengo che sia esaustiva e completa per cui chiunque volesse aggiungere altro è il benvenuto.
Ogni aggiunta non può che essere utile per la risoluzione di simili situazioni di emergenza e per accrescere le conoscenze di tutti noi.
In ogni caso il miglior sistema per mantenere sicuro un sito in joomla è una costante politica di backup ogni qualvolta si fa una modifica al sito.
-
(su pc "muletto" per evitare possibili infezioni ai pc su cui lavoro).
può andare bene anche una macchina virtuale?
Poi con Notepad++ funzione "Cerca nei file" lancio varie procedure di ricerca delle stringhe di codice: "eval (base64_decode"; "eval"; "base64", ...
caspita, non ci avevo mai fatto caso al "cerca nei file", uso altri programmini tipo Agent Ransack
Aggiorno dalla versione 1.5.8 alla versione 1.5.22. Verifico che l'aggiornamento sia andato a buon fine e scarico un pacchetto completo di joomla 1.5.22 e vado a sovrascrivere tutti i files e le cartelle nuovamente.
perchè una seconda sovrascrittura di tutti i file? un'ulteriore sicurezza in caso che alcuni file "bucati" della 1.5.8 non scovati dalle ricerche non siano presenti nell'aggiornamento?
Grazie
-
Ragazzi/e ci siamo datemi la conferma anche voi... a regola non dovrebbe dare più errore di sito danneggiato provate www.labronica.org
saluti Fabio
-
Si, il sito è ora funzionante al 100%. Direi che Frascan ha fatto un ottimo lavoro sul tuo sito e fornito a noi le linee guida su come operare se ci dovessimo trovare in una circostanza simile alla tua.
:)
-
Bravo frascan!
-
Si, il sito è ora funzionante al 100%. Direi che Frascan ha fatto un ottimo lavoro sul tuo sito e fornito a noi le linee guida su come operare se ci dovessimo trovare in una circostanza simile alla tua.
:)
Cavolo si mi ha davvero dato una mano enorme.... senza di lui non ce l'avrei fatta.
Dai è stato un modo per iniziare ad occuparmi di siti internet ora la cosa fondamentale da capire è come si usa joomla LOL ahahahahahah devo iniziare a capirci qualcosa per mettere foto scritte e altro :P
Ragazzi direi topic quasi chiuso ultima cosa è fare i passi per blindarmi ;)
ciao a todos Fabio
-
@caps
può andare bene anche una macchina virtuale?
si direi di si
perchè una seconda sovrascrittura di tutti i file? un'ulteriore sicurezza in caso che alcuni file "bucati" della 1.5.8 non scovati dalle ricerche non siano presenti nell'aggiornamento?
la sovrascrittura con una versione integrale della 1.5.22 dopo l'aggiornamento l'ho fatta perchè in fase di aggiornamento non vengono sostituiti tutti i files di joomla ma solo i files che hanno subito modifiche.
infatti se fai una verifica i pacchetti completi delle versioni di joomla pesano circa 6 MB se ricordo bene; mentre i pacchetti degli aggiornamenti pesano qualche MB o anche pochi KB a seconda dei files che sono stati modificati. quindi una volta andato a buon fine l'aggiornamento una bella ripassata con una versione integrale ha come risultato quello di avere la certezza che tutti i files di joomla sono a posto.
-
grazie