Joomla.it Forum
Non solo Joomla... => Sicurezza => : hjoomlait 28 May 2013, 20:03:52
-
Il mio hosting mi ha comunicato ieri che un mio sito è stato oggetto di un attacco di phishing. In pratica, sembra che qualcuno lo abbia bucato per inviare spam. Io ho cancellato tutto, sia la directory FTP che il database SQL, ho ripristinato il sito dal mio ultimo backup e ho cambiato le password. Al controllo di Sucuri Malware Removal il sito risulta adesso pulito, ma quando tento di aprirlo Avast mi segnala ancora l'URL infetto e me lo blocca. E soprattutto non so come rimuoverlo dalle blacklist in cui è stato inserito. Cercando su Google blacklist + nome del dominio finisco su directory e subdirectory che non portano da nessuna parte, e inoltre ho paura che adesso chi ha segnalato il sito possa rivalersi su di me o accusare me di essere il truffatore. Che fare? Per favore evitiamo risposte del tipo "te l'avevo detto", "la sicurezza non s'improvvisa" o "dovevi pensarci prima, peggio per te".
-
http://forum.joomla.it/index.php/topic,201260.0.html
-
Io ho cancellato TUTTO il sito corrotto, inoltre quelli della compagnia di hosting dicono che sulla loro macchina riescono ad aprirlo.... strano... mi hanno detto che dopo aver rimosso tutti i file malevoli, avrei dovuto essere io a ripristinarlo risettando i permessi della cartella FTP a 755. Beh, i permessi della nuova cartella (perché ne ho installata una nuova di zecca) sono esattamente a 755, solo che il sito dal mio PC ancora non parte.... può esserci qualcosa legato all'URL, all'IP su cui magari io non possa intervenire direttamente?
-
si capisce nulla ne di quello che hai fatto ne di che problemi hai ora
non si capisce se hai problemi con joomla o con l'hosting
-
Ho cancellato tutta la directory FTP e il database SQL e li ho reinstallati dal mio utimo backup. Il sito all'esame di Sucuri Malware Removal risulta ora pulito, quelli del servizio assistenza dell'hosting dicono che riescono ad aprirlo, io no perché Avast continua a segnalarmi l'URL come infetto. Chiaro adesso?
-
di più...
quindi o hai un virus in locale o qualcosa si è "memorizzato" in avast.
o qualcosa si è memorizzato nella cache del tuo browser e viene restituito dalla cache invece che dal sito
attenzione ai cookies di flash
-
il virus in locale posso tranquillamente escluderlo, perché ho già effettuato una scansione del PC. Idem per la cache del browser, che ho già svuotato. Non riesco ad accedere nemmeno via proxy....
-
prova con burp suite a vedere cosa succede negli headers o a mettere un proxi su uno spazio web per vedere se da li lo raggiungi.
Non hai qualche blocco nel router... magari ha un Fw
Hai provato a pingarlo o a fare un traceroute? .. su un server condiviso non ti da una risposta "completa" ma vedi dove arriva la tua richiesta e se viene dirottata
-
E il blocco del router capiterebbe giusto e solo con QUEL sito appena attaccato e poi ripristinato? Strano... Boh.... per il momento ho segnalato l'URL ad Avast come falso positivo, la cosa più probabile è che avendolo trovato infetto una volta lo abbia "memorizzato" come tale e ora me lo blocchi sempre... dovrebbe tener conto dell'esclusione ai prossimi aggiornamenti automatici... vediamo fra qualche giorno che succede....
-
ciao come ti è finita poi? anche sto avendo un problema ma solo con google, nel pannello di controllo mi spuntani amministratori in più e se clicco su di essi google mi dice
Attenzione: possibile tentativo di phishing!
Il sito web all'indirizzo www.cimbalicoperture.altervista.org contiene elementi di siti segnalati come siti "di phishing". I siti di phishing sono siti che inducono gli utenti a rivelare informazioni personali o finanziarie, spacciandosi spesso per istituzioni affidabili, come delle banche.
[/size]Phishinghttp://www.cimbalicoperture.altervista.org/administrator/index.php?option=com_users&view=user&layout=edit&id=132 Sono consapevole che accedendo a questo sito potrei danneggiare il mio computer. [color=rgba(33, 33, 33, 0.490196) !important]Procedi comunque[/color][/color]Indietro[/font][/font][/size]
-
Dopo aver ripulito tutto, mi sono rivolto a un servizio online (a pagamento) per la rimozione dalle blacklist, cerca su Google "website malware removal" e ne escono tanti :)
-
Se dal pannello di Joomla ti spuntano amministratori in più cancellali tutti e poi cambia tutte le password compresa quella del database SQL.