Joomla.it Forum
Non solo Joomla... => Sicurezza => : peppeirace 03 Jul 2013, 12:48:04
-
Salve
ho diversi siti fatti con la versione 1.5 aggiornati tutti a 1.5.26
in questi giorni un subito un attacco "sejeal"che inserisce contenuti in russo con link vari e ha caricato anche un'immagine sul server
quasti contenuti a parte in un solo sito, non vengono visualizzati nel frontend ma solo negli articoli attraverso l'editor
la mia domanda è se migrando alla 2.5 questo problema può essere arginato
a parte questo i siti funzionano ancora bene e la migrazione sarebbe molto complicata per diversi motivi
cosa mi consigliate di fare?
grazie a tutti
peppe
-
Controlla le estensioni dei siti, vedi se sono aggiornate.
Passando alla 2.5 potresti anche risolvere, a patto che non ci siano estensioni buggate e la configurazione del server sia a posto.
Quindi non è la versione di joomla che ti deve preoccupare, ma il resto.
-
Ciao Peppeirace,
Se il codice "malevolo" è nell'articolo, anche migrando non risolvi: gli articoli sono salvati nel Database e non nei file di Joomla.
La cosa più rapida è mettere off-line tutti i siti "incriminati".
Sovrascrivere, per sicurezza, tutti i file di Joomla! con la stessa esatta versione (se un sito è in joomla 1.5.26 gli sovrascriverai i file della stessa verisone).
Con PHPmyadmin, e qui sta la solfa, ti spulci gli articoli, se individui un "pattern" e sei in grado, ti fai una query di update per rimuovere tale "pattern" da tutti gli articoli (risparmieresti giorni e giorni di lavoro)
il Database e ogni sua modifica evita di farla su una copia sola, fatti una bella export, lavoraci, se qualcosa va storto ricominci re-importando il DB che avevi salvato.
Infine rimetti tutto on-line.
Ecco, io fare icosì se mai mi dovesse capitare ;)
-
Ciao Peppeirace,
Se il codice "malevolo" è nell'articolo, anche migrando non risolvi: gli articoli sono salvati nel Database e non nei file di......
Si quello che dici è giusto, se effettivamente hanno scritto nel database, ma apparte questo, la domanda vera è:
- Come hanno fatto tutto ciò?
- Come ci sono sono riusciti?
- Quale è stata la porta da dove sono entrati?
- Hanno semplicemente inserito qualche file che sovrascrive i contenuti o cambiato tutti i contenuti scrivendo direttamente negli articoli.
Per la mia esperienza e per la quantità industriale di siti che ho visto violati, 9,5 volte su 10 utilizzano un estensione non aggiornata per iniettare codice. Tutte le altre volte invece, è venuto fuori che era un problema di credenziali, chi ha fatto le modifiche aveva user e password.
-
Grazie Belin Belan
come faccio a individuare un pattern nel db
ti allego un file di testo contenete quello che ho trovato negli articoli, in cima a tutto alcuni link contenuti
per la sovrascrittura secondo te posso trascurare i template che a suo tempo modificai nei css?
grazie
[allegato eliminato automaticamente dopo un anno]
-
Sono d'accordo con te Giusebos :)
Anzi, mi scuso per non aver aggiunto che:
vanno cambiate le password di accesso al DB
vanno cambiate le password di accesso utente superuser/admin etc..
consultata la "blacklist" su Joomla.org per vedere quali e quante estensioni pericolose sono eventualmente installate nel o nei siti web gestiti e sostituite con altre più adeguate.
Infine, dove possibile migrazione a nuova versione Joomla! :)
Un lavoraccio che però da grandi soddisfazioni alla fine.
-
grazie a tutti e due
le passw del db le ho già cambiate e ora cambierò quelle dell'amministrazione
peppe
-
Ciao Peppe,
purtroppo non sapendo dove è "il buco" dove sono passati per scrivere negli articoli, non dovresti sottovalutare niente, template compreso.
Ho scaricato il file, l'ho esaminato ma non ho trovato ricorrenze a meno che, ogni paragrafo non si ripeta per tutti gli articoli.
Mi sa che dovrai rimuovere tutto a manina. Per evitare altri danni, metti tutti i siti off-line. Il resto con calma.
-
ok grazie