Joomla.it Forum
Non solo Joomla... => Sicurezza => : atlpaperino 25 Jun 2012, 12:26:17
-
Buongiorno a tutti , stamani all'apertura del sito www.laurenzianabasket.it (http://www.laurenzianabasket.it) il mio antivirus norton ha rilevato la seguente intrusione
Web attack mass injection website
url aggressore : www.laurenzianabasket.it/media/system/js/mootools.js (http://www.laurenzianabasket.it/media/system/js/mootools.js)
Versione joomla 1.5.26
Potete darmi qualche indicazione su come risolvere il problema e se è il caso di mettere il sito off line ??
Grazie Marco
-
Se leggi l'articolo del primo post di questo forum, trovi tutto quello che devi sapere su come ripristinare il sito. :)
-
Grazie della risposta , vorrei se posso aggiungere un paio di informazioni , in modo anche da capire meglio
- perchè collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?
-Ho creato una pagina statica Index.html e l'ho messa on line ( ho rinominato momentanenamente la index.php in index1.php) così facendo il messaggio di attacco non viene + visualizzato .... domanda sciocca ma non basterebbe ripristinare la index.php ??
So gia che non è così , ma era giusto per imparare meglio
Grazie Marco
PS: inloltre mi servirebbe un consiglio , visto che ero intenzionato a passare alla versione 2.5 , e mi interessava recuperare gli articoli e le immagini secondo voi quale è la procedura + rapida ?
1) cancellare tutto e ripartire con una nuova installazione di joomla 2.5 e poi inserire di nuovo tutti gli articoli ( è una procedura difficile ??) e tutte le immagini?
2) tentare di recuperare il sito con la guida consigliata , e poi fare la conversione alla 2.5 ?
Grazie
-
perchè collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?
----------------------------------
beh qs domanda la puoi fare a microsoft
-Ho creato una pagina statica Index.html e l'ho messa on line ( ho rinominato momentanenamente la index.php in index1.php) così facendo il messaggio di attacco non viene + visualizzato .... domanda sciocca ma non basterebbe ripristinare la index.php -----------------------------------------
non è sciocca è "al vento"... come si fa a sapere cosa si può fare non sapendo cosa è successo e cosa è compromesso? ..può darsi di si può darsi di no..
PS: inloltre mi servirebbe un consiglio , visto che ero intenzionato a passare alla versione 2.5 , e mi interessava recuperare gli articoli e le immagini secondo voi quale è la procedura + rapida ?
-------------------------------------------------------
cercare se esiste o scrivere uno script di migrazione dei soli articoli
1) cancellare tutto e ripartire con una nuova installazione di joomla 2.5 e poi inserire di nuovo tutti gli articoli ( è una procedura difficile ??)
--------------------------------------------
...è stato difficile inserirli fino ad ora? ... tanto devi fare copia incolla... diciamo che è una smaronata, più che difficile
e tutte le immagini?
------------------------------
in che senso?... le ricarichi dove erano...non prima di aver verificato che ognuna sia effettivamente un immagine e non una shell per lavorare sul sito lasciata lì dal tuo attaccante.
M.
-
Hola
Buongiorno a tutti , stamani all'apertura del sito il mio antivirus norton ha rilevato la seguente intrusione
Web attack mass injection website
...
Ma questo vuol dire che sei stato hacckerato o che uno dei due antivirus da i numeri? hai fatto una comprovazione esterna?
-
:) ... si appunto...
M.
-
ragazzi scusate , ma non ho capito cosa intendete per comparazione esterna ? se ho provato ad accedere al sito anche da altri pc ??
si , su alcuni l'antivirus trova l'attacco su altri no
Non riesco ad uscirne vivo , ho provato a sovrascrivere i file con un salvataggio abbastanza datato ( sul sito c'è installato akeba ) e continua a venire fuori l'alert di norton
non so cosa fare
Grazie ciao
PS : mentre attendevo qualche "dritta" , mi son oaccorto che il menu del backend ( quellodove c'è menu -contenuti ecc ecc - non è piu utilizzabile ( non posso cliccarci sopra) .. secondo voi è sintomo di hackeraggio?
Inoltre sono andato ancora + indietro con il salvataggi e sono arrivato ad una versione che però mi riposta alla 1.5.25 , dove però il menu è tornato ad essere attivo .. che faccio prendo questo punto per buono ? e da li riparto con l'aggiornamento alla 1.5.26 e con il reinserimento di tutti gli articoli mancanti ? e poi passo alla 2.5 ?
-
Hola
...
non so cosa fare
...
Metti il sito online, te lo diciamo noi
Non preoccuparti dell'aggiornamento fino a che non abbia risolto questo problema
-
ok , grazie .. allora il sito è offline , ma con sopra una versione del 25.02.12 con joomla 1.5.25 ... che credo non sia hackerata ( non posso verificarlo con certezza perchè dal pc di casa con avasta non da nessun sgnale di intrisione )
se vuoi posso rimettere ( solo domani mattina )la versione che c'era stamani , cioè quella con joomla 1.5.26 e i file aggiornati ad ieri
fammi sapere ... di nuovo grazie
Marco
-
Hola
Io devo vedere online il sito per cercare, dimmi quando sará e daró un'occhiata
-
Ok .. rimesso un line sito con ultima versione , attendo tue notizie
Grazie !!!! Ciao Marco
PS se può servirti , ti allego la videata dell'attacco rilevata da norton
[allegato eliminato da un amministratore essendo vecchio più di un anno]
-
Hola
A me non risulta attaccata, rivedi le impostazioni dell'antivirus
-
da una parte la tua affermazione mi fa un immenso piacere ,( sei sicuro al 100% ?) dall'altra mi mette ancora + in confusione
- fatta una prova su un'altro pc con antvirus ( AVG)diverso e viene sempre fuori un alert ( ma a te non viene fuori nulla ?)
-altre persone mi hanno contattato per dirmi del problema ( non so che antivirus abbiano)
- continuo a non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile
Mi dispiacerebbe distruggere tutto , ma così non posso andare avanti
Ti allegao anche l'immagine che mi ha mandato un amico , con diverso antivurus rispetto al mio ... quindi se non un attacco ... come risolvo il problema ?
Grazie ciao
[allegato eliminato da un amministratore essendo vecchio più di un anno]
-
Hola
...
A me non risulta attaccata...
... sei sicuro al 100% ?...
No
In quel momento ho fatto un analisi esterno che ritengo affidabile, non ho controllato tutte le righe di codice dei 4.500 file del tuo sito e, per tanto, non posso sapere se il hack é programmato per attivarsi solo i giorni che segna Pirlo
-
quindi se non ho capito male , per la tua esperienza esclusi momentaneamente che sia un attacco e quindi come mi comporto ? non posso tenere on line un sito che genera problemi ..... e non posso nemmeno dire a tutti di modificare le impostazioni dell'antivirus :-)
scusa se mi ripeto .. ma il fatto di non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile è risolvibile ?
inoltre i 2 js ( mootools e caption ) che danno problemi a cosa servono ?
Scusa ma è una situazione che le mie conoscenze non mi permettono di risolvere ... se non distruggendo tutto
Grazie e scusate
Marco
-
Hola
Io ti posso dare le mie opinioni ma il sito è tuo e le decisioni le devi prendere te
-
a me fa piacere l'opinione di chi è + esperto di me altrimenti non avrei fatto la richiesta di aiuto
quindi spara la tua sentenza :-)
Grazie
PS: ho fatto una prova togliento i 2 JS ( mootools e captions) dal sito e l'alert non appare + . ti può dare qualche indizio in + ? dopo averli tolti rimane sempre il problema che nel backend non posso accedere ai menu ( vedo che non mi dai nessuna risposta a questo problema , sono io che non mi spiego bene o non hai una spiegazione ?)
ciao
-
Hola
Qui siamo sull'inconcreto ma sparo (nessuno mi chiamerà codardo ;D ;D ;D )
I js mootools e caption sono disattivati in tutti i template che ho fatto e i siti funzionano, se a te funziona così, io lo terrei, tra l'altro la pagina impiegherà 2/3 secondi in meno a caricare e peserá 100 kb meno.
Sul problema del backend cerca qual'è il messaggio d'errore (attivando il debug, con i log, ecc...) e parti da li.
-
Intanto grazie per esserti "esposto" capisco che non è semplice ..... io il problema lo "avrei" risolto però vorrei la vostra autorizzazione a scrivere RISOLTO sul titolo , nel senso che non so se ho avuto solo fortuna o altro però l'alert è sparito almeno dal mio computer ( il mio amico farà la prova nel pomeriggio)
Ho scaricato una versione completa di Joomla 1.5.26 ho preso il contenuto della catella JS ( media/system/js) e l'ho copiato nella cartella js del mio sito , sovrascrivendo alcuni file
Il problema dell'alert è sparito e anche i menu del backend sono tornati usabili con la loro tendina che scende
secondo voi è stato solo un caso e il problema si potrebbe riproporre ? ( ovviamente lo so benissimo che potete solo esprimere un vostro parere altrimenti sareste maghi :) )
Grazie a tutti per l'aiuto e il "sostegno "
Ciao marco
-
Hola
Ti offro una losca componenda:
Aspetti che il tuo amico dia l'OK e scrivi il risolto ;)
-
anche l'amico , ha detto OK ! quindi dirrei anche se in maniera artigianale "momentaneamente " risolto
Grazie a tutti
-
Purtroppo ho dovuto togliere la dicitura "risolto" perchè il problema a distanza di un paio di giorni si è riproposto ... sinceramente non so + che pesci prendere e quindi avrei preso la seguente decisione ... rifaccio tutto da capo , per mi servirebbe un pò del vostro aiuto ( forse adesso vado OT .. se lo fossi spostare pure il messaggio in altra sezione )
pensavo di : nell'ordine ditemi se qualcosa è inutile o è sbagliato
cambiare user e psw FTP
cambiare user e psw accesso joomla
cambiare user e psw Database
sono tutti cambi che possofare da solo , o qualcosa devo chiederlo al provider ?
fare un salvataggio del sito - file e database
cancellare tutto dal sito
creare una nuovo database e fare una nuona installazione di j 2.5 ( tanto prima o poi avrei dovuto farla ), purtroppo non riesco nemmeno a fare la migrazione con jupgrade ( tutte a me capitano ) si blocca all'ultimo passaggio ...
a questo punto mi servirebbero vostre indicazioni su :
come recupero e se posso recuperare gli articoli del vecchio sito ?
c'è qualche guida ?
se non sbaglio gli articoli si trovano all'interno del database , giusto ? corro qualche rischio a prenderli ?
Grazie delle indicazioni
Marco
-
guarda il post in evidenza in alto a qs sezione.
M.
-
Hola
...per mi servirebbe un pò del vostro aiuto...
che non ti potremo dare visto che in tutta la discussione non hai fornito manco un dato reale concernente al problema, solo ci hai fornito suposizioni che poi si sono dimostrate infondate.
-
sinceramente credevo di avervi esposto il problema abbastanza chiaramente , nel primo post ho esposto il problema , nei successivi ho pure fornito le immagini degli alert dei 2 antivirus , ho anche spiegato che oltre agli alert il principale problema era che il menu del backend era comme se fosse disabilitato.. .. ho fornito la versione di joomla , non posso fornirvi le versioni di 2 plugin installati ( dovete fidarvi della mia parola sull'aggiornamento ) non avendo la possibilità di accedere al menu ... se poi mi sono spiegato male nella mia ignoranza ..allora è un altro problema
Se puoi farmi sapere quali altri dati ti servono sarò molto contento di fornirteli
Grazie e scusate
Marco
-
Hola
Non siamo d'accordo, te hai fornito le tue impressioni generiche non fondate su dati informatici e cambianti su quanto immaginavi dal di fuori:
...
stamani all'apertura del sito www.laurenzianabasket.it (http://www.laurenzianabasket.it) il mio antivirus norton ha rilevato la seguente intrusione Web attack mass injection website
collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?
mi son oaccorto che il menu del backend ( quellodove c'è menu -contenuti ecc ecc - non è piu utilizzabile ( non posso cliccarci sopra) .. secondo voi è sintomo di hackeraggio?
PS se può servirti , ti allego la videata dell'attacco rilevata da norton
Ti allegao anche l'immagine che mi ha mandato un amico , con diverso antivurus rispetto al mio ... quindi se non un attacco ... come risolvo il problema ?
scusa se mi ripeto .. ma il fatto di non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile è risolvibile ?
inoltre i 2 js ( mootools e caption ) che danno problemi a cosa servono ?
ho fatto una prova togliento i 2 JS ( mootools e captions) dal sito e l'alert non appare +
pensavo di : nell'ordine ditemi se qualcosa è inutile o è sbagliato
cambiare user e psw FTP
cambiare user e psw accesso joomla
cambiare user e psw Database
E dopo tutto questo tempo non sappiamo qual'è il problema, solo abbiamo le tue supposizioni, fino adesso infondate, comunque puoi dimenticare l'hackeraggio, l'antivirus, il tuo amico, ecc... non è li é dentro del codice del tuo sito, e rileggi
...cerca qual'è il messaggio d'errore (attivando il debug, con i log, ecc...) e parti da li.
che era il punto principale mai risposto
-
Allora, parti da un concetto: fino a prova contraria la 2.5.6 non è vulnerabile e i files sono comuni a tutti quanti.
Quindi se il malware è in quei file non stare a diventare scemo, li sostituisci con quelli di un nuovo pacchetto.
Nel db non scrivi nulla con un bug quindi o l'hanno scritto a mano o il db è a posto. Se poi il malvare è js direi che il db con buona prob. è sano
Poi vengono le estensioni che hai installato... quelle lo sai tu se sono aggiornate e se lo sono dovrebbero essere a posto.
Poi vengono i "contenuti uppabili" foto, files etc.... quelli li devi controllare a manina.
oppure installa una nuova versione, installa tutte le estensioni e poi cambi i database.
PRIMA DI TUTTO metti in modalità provvisoria il pc e fai una scansione con almeno 2 antivirus.
Non c'è da dire più null'altro, c'è da non far casino e fare le cose pensando e magari prendendo appunti per poter tornare sui passi precedenti.... ma era già scritto tutto nell'articolo in evidenza....
M.
-
Ragazzi scusate forse ho fatto un pò di casino , nel darvi le indicazioni , ma lungi da me l'intezione di fare polemica ...
Dopo aver seguito i consigli di mau_develop( che spero di non aver interpretato male , hai scritto ver 2.5.6 ma forse intendevi 1.5.26 il mio sito non è aggiornato alla versione 2.5 ) e aver preso i file di una nuova intallazione e sovrascritti quelli sul server , e quello di Npaquito aver attivato i rapporto errori ( messo al massimo ) ,
problemi momentaneamente spariti :
- non si apre + l'alert dell'antivirus all'apertura del sito
- i menu nel baackend sono tornati di nuovo utilizzabili
Nuovo problema
- scegliendo un menu , dal menu a tendina "menu" ( scusate la ripetizione ) , vengono fuori i seguenti errori
Fatal error: Class 'JMenuAdministrator' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/joomla/application/menu.php on line 102
Fatal error: Class 'JLoader' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/loader.php on line 161
ho provato a cercare sul forum , ma tutte le discussioni non hanno una soluzione ( o almeno io non l'ho trovata )
Lo stesso errore viene fuori anche se tento di installare qualcosa da estensioni - installa/disinstalla
Spero di essere stato + chiaro questa volta
Grazie dell'aiuto
Ciao
-
Scusate se posto ancora , ma sono passati 3 giorni e nn ho ricevuto nessuna risposta ... e mi è sembrato strano ... so benissimo che non siete qui ad aspettare i miei problemi ..... volevo solo sapere se secondo voi ho fatto bene a continuare su questo post ( con lo steso oggetto) oppure sarebbe stato meglio aprirne uno nuovo visto che il problema è diventato un altro ?
Grazie ciao
-
Hola
...
Fatal error: Class 'JMenuAdministrator' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/joomla/application/menu.php on line 102
Fatal error: Class 'JLoader' not found in /var/www/vhosts/laurenzianabasket.it/httpdocs/libraries/loader.php on line 161
...
Ma i file ci sono? se no li aggiungi
Comunque troverai altre discussioni su tema usando la funzione Ricerca
-
- I file ci sono
- Avevo gia fatto una ricerca , ma tutte le discussioni non hanno una soluzione , alcune indicano di rimettere i 2 file , ma questa operazione l'ho fatta almeno 2 volte senza nessun risultato , altre non hanno nessuna risposta
questi sono i passaggi che ho provato senza risultato
1 ho rimesso un vecchio salvataggio che ha riportato il sito alla versione 1.5.25
2 aggiornato il sito alla 1.5.26 attraverso il file Aggiornamento 1.5.26 a 1.5.26
3 Sovrascritto tutti i file del mio sito con quelli di una installazione di Joomla 1.5.26 nuova
4 ricaricato l'ultimo salvataggio ( versione 1.5.26)
Ho provato a vedere se il problema spariva dopo ogni passaggio , ma non e mai sparito
Ho provato a vedere cosa fosse scritto nei 2 file alle line indicate dall'errore ma non ci ho capito molto
Linea 102 del file menu.php
// Create a JPathway object
$classname = 'JMenu'.ucfirst($client);
$instance = new $classname($options);
line 161 del file loader
function __autoload($class)
{
if(JLoader::load($class)) {
return true;
}
return false;
Grazie a chi possa aiutarmi
Ciao Marco
-
Guarda che il passo 4 rende inutile tutti i passi precedenti.
-
cmq il problema , rimaneva anche dopo il passo 3 .... escusa e come avrei dovuto fare per riavere il sito aggiornato prima il 4 e poi il 3 ??
Grazie
-
Al passo 4 dici di ricaricare l'ultimo salvataggio tutto quello che fai prima è solo perdere tempo.
-
Ok .. l'ho fatto per vedere se in una fase intermedia il problema non si presentava ... ma non è stato così .. diciamo che ho perso un pò di tempo .. quindi cosa mi consigli per uscire dal problema ?
Grazie
-
quell'errore non vuol dire che ti mancano quei files ma che in quei files ci sarà una richiesta di quella classe che non si trova.
Prendi un pacchetto nuovo e sovrascrivi i files.
M.
-
Ho seguito il tuo consiglio ma il problema rimane ,
Specifico bene cosa ho fatto per vedere se ho commesso un errore
- ho scaricato il pacchetto joomla 1.5.26
- l'ho decompresso in una cartella sul desktop
- attraverso ftp , ho fatto upload di tutti i file all' interno della cartella httpdocs
dove ho sbagliato ?
Grazie
-
con cosa fai l'upload?
con quello che usi puoi controllare alla fine se qualcosa non viene copiato? ... così da escluderla come possibilità
Quello che viene copiato ha i permessi corretti?
Provato a fare una reimpostazione dei permessi col pannellino dell'hosting?
L'ambiente in cui sta joomla è adatto? ovvero lo sono le versioni di sw che lo fanno girare?
M.
-
o mamma .. si va sul difficile .. spero di essere in grado di rispondere in maniera corretta
upload : filezilla versione 3.5.3
tutti i file vengono copiati .. nessun errore di trasferimento
non so se i permessi sono corretti tiscrivo quelli che risultano da filezilla poi dimmi te se vanno bene
0755 cartelle
0644 file
0444 file configuration
L'ambiente , penso sia adatto visto , non posso scrivere l'host dove è appogiato il sito ma ha php 5 ( è questo che mi chiedevi)
Ciao e grazie
-
ciao mau .. scusa se ti importuno ancora .... devo considerare chiuso l'aiuto ? siccome ho visto che alla mia risposta non hai dato seguito
Grazie ancora dell'aiuto .. anche se per adeso non sono riuscito a risolvere il problema
Caio
-
no, non è che l'aiuto è a tempo è che non mi viene in mente nulla dai dati che mi dai tranne ciò che ti ho detto: o mancano i files o mancano i permessi sul file o è sbagliata la versione di php.
M.