Joomla.it Forum
Non solo Joomla... => Pubblica Amministrazione => Albo Pretorio On Line => : elena2505 13 Jun 2011, 17:58:42
-
Dopo un attacco hacker al sito, ho dovuto ripristinare un backup e adesso quando tento di scaricare gli allegati, nella finestra di popup mi compaiono questi messaggi:
Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613175041_0767.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16
Qualcuno ha idea di cosa possa fare per sistemare tutto?
-
Mi rispondo da sola perché ho risolto questo problema e ne è sorto un altro. Adesso quando clicco sul pdf mi compare questo messaggio: "il file non inziia con '%pdf-'
Boh. Io ho semplicemente caricato di nuovo tutto il sito
-
con cosa li hai fatti quei files?
sicura che non contengono malware?
gli header di alcuni files possono essere iniettati, come quelli dei pdf e delle immagini.
lo stat su un file ritorna un array di info sul file stesso, il fatto che fallisca non è un bel segno se il file è leggibile/scrivibile
M.
-
dei pdf sono sicura, perché sono scansioni fatte da me da cartaceo
-
Ora vedo di nuovo il primo errore.
Credo che siano i permessi sulla cartella o la configurazione della cartella in chronoforms o images da riposizionare.
-
ho cambiato i permessi dei files pdf a 755, in effetti erano a 644, ma niente
sempre lo stesso errore
-
Gli errori sono due. Prima c'è questo
Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613174854_0766.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16
E poi una lunga serie di questi
Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 61
-
/uploads/allegati_10/20110613174854_0766.pdf
-------------------------------------------------------------------
un dubbio... non è che hai aperto e modificato qualche files senza usare notepad o cmq editor utf8?
oppure:
prova a scaricare dal sito (ftp) qs file, zippalo e allegalo ..se possibile e non contiene cose riservate, probabilmente è corrotto o ha qualcosa che non va.
Se anche la scansione l'hai fatta tu non vuol dire che non gli scrivi dentro un malware, così come non è detto che il tuo av se ne accorga.
oppure:
Prova a farli scansire da Anubys http://anubis.iseclab.org/
M.
PS l'errore ha un suo significato, purtroppo non univoco ed è che facendo lo stat su quel file "succede qualcosa" per cui viene printato dell'html, che può essere malware o semplice stringhe di errore, che cozza con la sessione che pretende che nessun header html venga lanciato prima di lei.
-
Secondo me il sito è attualmente mira di qualche attacco perché adesso non mi fa entrare in ftp e nel cpanel mi dice che a causa di tentativi ripetuti di accesso forzato l'account è stato bloccato
A questo punto le cose potrebbero essere collegate, ma io non darei la colpa ai files pdf dell'albo, che sono lì da tempo
-
:D ... questa è un'altra delle cose che mi fa andare il sangue al cervello! ..server da doddare e basta altrochè servizi.
spero sia almeno gratuito ;)
pensa che bello se alla mattina non trovi più la macchina e al suo posto un bel biglietto:
"siamo la polizia le abbiamo preso noi la macchina perchè stavano tentando di rubarla"
..ma loro sicurezze non ne hanno?
un conto è bloccare un sito già "violato" e quindi dannoso per gli altri (..chissà perchè poi... sys della cippa), un conto è sospendere un servizio e aspettare che sia l'utente ad accorgersene.
Bah secondo me i tuoi problemi finiscono cambiando hosting.
M.
-
Mi hanno risposto che devo trovare io da dove arriva l'attacco, ma io non sono in grado.
A questo punto mi sposto in un'altra sezione del forum, perché ho un sacco di errori di quel tipo anche nelle altre pagine adesso
Grazie
-
Gli errori sono due. Prima c'è questo
Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/web/components/com_chronocontact/uploads/allegati_10/20110613174854_0766.pdf in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 16
E poi una lunga serie di questi
Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/web/components/com_albopretoriosetup/show.php on line 61
La seconda serie di errori è conseguenza del primo. Credo che trovando il primo errore scrive qualcosa, e prima dell'header non possono essere inviati output.
Il primo errore lo trovavo anch'io in fase di messa a punto dello script e derivava dal fatto di non trovare il file da caricare o per il problema dei permessi o proprio perchè il file non esisteva nella posizione di caricamento.
Per questo ti avevo suggerito di controllare nella configurazione di albo quale cartella hai abilitata per gli allegati.
Un salvataggio di conferma della configurazione non farebbe male.
-
mi mandi in pvt l'url completo pls
M.
-
si, per favore, qualcuno mi aiuti.
-
Il problema è che per adesso non mi fa entrare nel sito visto che mi da questi errori anche nella pagina iniziale e non solo negli allegati.
-
:) ...devi modificare il titolo... non è dopo worm... tu il problema ce l'hai ancora.
poi appena ho un attimo guardo anche cosa vuol fare il tipo
comunque sia fa partire uno script al caricamento se il referrer è x, siccome è un innerhtml inserito nel dom lo fa partire prima della sessione.
M.
-
Stai parlando arabo per me... che significa tutto quello che hai scritto?
Sinceramente mi trovo in difficoltà stavolta... qualcuno insiste. Tutte le password users erano alterate e le ho dovute ripristinare da phpmyadmin
-
Allora, ho momentaneamente trasferito il sito qui, per renderlo subito visibile:
http://www.pasmservice.it/gibellina/index.php?option=com_chronoconnectivity2&Itemid=53
però non apro gli allegati di albo pretorio perché mi da' questo errore:
il file non inizia con '%pdf-'
Ho cambiato cartella dalla configurazione di Albo e ho messo images/allegati_10 e stessa risposta
i permessi sono 755
-
Risolto con gli allegati nel nuovo hosting.
Ora devo solo capire da dove sono entrati, se stanno ancora tentando di entrare e per quale oscuro motivo vogliono entrare
Che stress
-
Ora devo solo capire da dove sono entrati
---------------------------------------------------------
... lascia perdere, parti dal fatto che se sono entrati hai sempre qualcosa di non aggiornato o di smanacciato male.
se stanno ancora tentando di entrare
---------------------------------------------------
chettifrega? :) una volta che il sito è a posto è come dare le capocciate al muro :)
e per quale oscuro motivo vogliono entrare
--------------------------------------------------------
sito territoriale ... amm pubblica... un pozzo di dati!
Guarda la mia firma :) lo hanno fatto ieri ... per quale motivo? ... informazioni....dati... poi cosa farne si vede dopo
M.
-
Però aspetta... il sito è a posto in un altro hosting
Io sospetto che siano entrati da xclone backup, dove non avevo cambiato la password di default. Che dici? Si può capire?
Non vorrei rimettere tutto e poi tornare ad avere lo stesso problema
-
difficile per me andare oltre non potendo controllare ciò che fai e come lo fai...
Ho provato il malware che trovi su quel sito (nn te lo nomino.. è un po' scurrile) è non è molto innocuo... ti ri-consiglierei una bella scansione con antivirus.
Per chiarire le mie affermazioni di prima sull'hoster..
... ovviamente nel tuo caso ha fatto bene a disattivare il servizio, eri tu un pericolo per i tuoi visitatori e lui non poteva e non era suo compito rimuovere il problema.
Diverso se era come dicevi tu che ricevevi attacchi (non presumeva tu fossi stata già bucata), in qs caso lui poteva benissimo dirti da dove era arrivato.
Con l'hosting che hai puoi anche tu parzialmente, se te ne accorgi subito, nel pannellino di amministrazione trovi quello per visualizzare gli ultimi log del server e relativi ip di accesso e richieste.
Farlo ora è inutile.
M.
-
Ho ripristinato tutto il sito. Ho creato un nuovo database e importato i vecchi dati. Nuove password.
Però ho sempre lo stesso problema con gli allegati di Albo Pretorio e solo con quelli:
http://www.comune.gibellina.tp.it/jweb/index.php?option=com_chronoconnectivity2&Itemid=53
Mi compare sempre l'errore
Warning: filesize() [function.filesize]: stat failed for /home/data/c0101154/public_html/jweb/images/allegati_10/20110614163253_0774.pdf in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 16
Warning: Cannot modify header information - headers already sent by (output started at /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php:16) in /home/data/c0101154/public_html/jweb/components/com_albopretoriosetup/show.php on line 61
Ho provato tutto il sito su nuovo hosting (aruba per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto
-
Scusate se vi ho fatto perdere tempo, ma mi hanno fatto notare che non caricava alcuni pdf e l'errore era dettato dalla mancanza del file.
Grazie a tutti per aver preso a cuore il mio caso.
Risolto dopo un lavoraccio di travaso di 3 giorni
-
Finalmente, ora siamo tutti più tranquilli.
La seconda serie di errori è conseguenza del primo. Credo che trovando il primo errore scrive qualcosa, e prima dell'header non possono essere inviati output.
Il primo errore lo trovavo anch'io in fase di messa a punto dello script e derivava dal fatto di non trovare il file da caricare o per il problema dei permessi o proprio perchè il file non esisteva nella posizione di caricamento.
Per questo ti avevo suggerito di controllare nella configurazione di albo quale cartella hai abilitata per gli allegati.
Un salvataggio di conferma della configurazione non farebbe male.
Ma questo ti era saltato ?
-
si mannaggia... mi avevi già dato la soluzione ieri.
Non mi ero accorta, mi ero fatta prendere dal panico più che altro.
Spero che non mi succeda più, che incubo!
-
Tutta arte che entra, mi dicevano. ;D ;D ;D
No problem.
-
Ho provato tutto il sito su nuovo hosting (sgaragnao per la precisione) e tutto funziona correttamente. A questo punto, credete che debba rivolgermi al provider e insistere con loro? Anche se mi dicono che da loro è tutto a posto
Ricorda che su quell'hosting dopo l'installazione devi ripristinare i permessi delle cartelle con la procedura del pannello di controllo che mettono a disposizione.
-
io ti rinnovo l'invito a fare un'approfondita se non di più scansione con almeno 342 anti-virus/malware...
Oggi ho fatto la fine della scimmietta della barzelletta che toglie il famoso tappo al maiale :):)
Curioso appunto come una scimmia volevo vedere come "funzionava il gioco, per cercare di appropriarmi di quel malware senza distruggermi qualcosa.... sono andato poco lontano...
nel deoffuscarlo, ho sostituito tutto il js che eseguiva con delle stampe a video, maaa.... non ho salvato il file prima di chiamarlo :(:( , così sono finito sulla pagina "infetta" con giù molte difese importanti.
E' un sistema lnx, non particolarmente hardenizzato ma cmq installato a dovere... si... ciao :)
Ora so cosa fa quel virus, ne più ne meno di una variante dell'originale (ricordate il casino tempo fa dei redirect quando venivi da google?) ... solo che a quanto pare passa da FFox (sembra) acquisisce dei privilegi e installa un mini server, con cui fa MTM ad ogni tua richiesta. (quindi prob anche sull'ftp)
Non so perchè, forse per regole di iptables che ho impostato credo, da me fallisce le connessioni, però ora sono comunque obbligato a sistemare tutto....
M.
ps: ahh! ...dimenticavo... è indiano! ...non quelli con le piume:)