Joomla.it Forum
Non solo Joomla... => Sicurezza => : lucia86 17 Dec 2013, 01:09:58
-
Vi copio l'avviso dell'hosting. Qualcuno sa aiutarmi? Ho già aggiornato joomla 1.5 all'ultima versione stabile. Ora non so come aggiornare tutti i componenti, pluging, ecc che sono davvero tanti è un portale.
Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano. Qualcuno sa darmi delle indicazioni????????
------------------------------------ :'(
Buongiorno,
la presente per avvisarla che abbiamo proceduto alla sospensione del dominio in oggetto a causa della presenza di scripts malevoli (o presunti tali) all'interno del suo spazio hosting, script utilizzato per l'invio massivo di spam.
La invitiamo a rimuovere i contenuti segnalati ed a provvedere alla bonifica di ulteriori file che potrebbero essere presenti e/o all'aggiornamento delle componenti del suo sito (Codice PHP, CMS, Plugins) onde evitare il ripetersi della problematica.
Altresì la invitiamo a modificare le credenziali di accesso per gli utenti FTP e per l'utenza del pannello di gestione
1) Scripts identificati (la lista potrebbe non essere completa e/o esaustiva)
/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php
2) Mail Log
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: lazietta@hotmail.com -- Headers: From: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com> Reply-To: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: ldrbgolf@telus.net -- Headers: From: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com> Reply-To: "Samantha Case" <samantha_case@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leedaz15@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leemarietta@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: leonetta_1913@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: letovoleg@ukr.net -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To: lexxxx2000@yahoo.com -- Headers: From: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> Reply-To: "Benita Keith" <benita_keith@amalfiandsorrentocoast.com> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
Vi ricordiamo che non sarà sufficiente eliminare gli script per riattivare il sito, ma sarà almeno necessario aggiornare il software ed i relativi plugin
-
Ciao lucia86
il problema è serio e per risolvere "velocemente" dovresti scaricarti via FTP tutto il sito in locale, copiare il DB esportandolo il un file MYSQL unsando il phpmyadmin che il tuo servizio hosting ti mette a disposizione.
Nel tuo PC installi Wamp o Xampp (1.7.3) quindi crei un nuovo DB in "locale" cioè nel tuo pc e importi il file mysql con i dati del tuo db esportato in precedenza.... etc..etc...
Una volta che il tuo sito funziona correttamente nel tuo PC provvedi alla rimozione dei "file maligno" e agli aggiornamenti/upgrade.
Se tutto questo ti sembra complicato puoi chiedere aiuto qui oppure inserire un annuncio nella apposita sezione dove, a pagamento, riceverai aiuto.
considera che se ti impegni ce la fai sicuramente da sola. ;)
-
non sono d'accordo con lo scaricare l'intero sito e lavorare su questa copia. il sito è stato compromesso e non sai quali file sono stati aggiunti/modificati, ritengo sia più sicuro rifare un'installzione ex novo e caricare il db, previa verifica dei contenuti, su questa. ti mando un link con le istruzioni via pm.
Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano. Qualcuno sa darmi delle indicazioni? ??? ??? ?
2) Mail Log
mail() on [/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php:2]: To:
anche il nome suona assai strano, e poi guarda il log della funzione mail, come fai a non trovarci niente di strano? ;D ;D
ok, se non sei un programmatore non è semplice, ma quel file non è di joomla e serve ad inviare mail, questo te lo dico senza bisogno di vederlo.
il problema ultimo, è poi capire da dove sono entrati e chiudere loro la porta, come indicato dal provider nella nota di chiusura. a questo proposito ci sono diversi post in questa sezione.
ciao,
marco
-
Ciao,
avevo il tuo stesso problema e non avendo il tempo di passare alla versione 2.5 mi arrangiai in questo modo:
1. Esegui una scansione online del tuo sito con diversi antivirus, alcuni come avg ti indica il codice o la pagina;
2. Sono d'accordo con mmleoni, ma se non hai tempo segui il consiglio di BelinBelen
3. Una volta in locale usa notepad++ per cercare in tutte le cartelle del tuo sito in locale una parola chiave individuata dall'antivirus.
Io avevo fatto così e avevo pulito tutti i file colpiti.
Ciao
-
[...]
Se tutto questo ti sembra complicato puoi chiedere aiuto qui oppure inserire un annuncio nella apposita sezione dove, a pagamento, riceverai aiuto.
Salve ho lo stesso problema, come potrei chiedere aiuto?
Grazie
-
forse questa esperienza può essere di aiuto:
http://forum.joomla.it/index.php/topic,256912.msg1193742.html#msg1193742
http://forum.joomla.it/index.php/topic,257032.msg1193741.html#msg1193741
Per curiosità: cosa c'era esattamente nel file? anche solo un tag php aperto?
Inoltre mi hanno segnalato un file php che ho aperto e non ho trovato nulla di strano.
/var/www/vhosts/posiweb.it/site12/components/com_content/install6KoJ.php
In merito alla tua richiesta sui plugin, devi prima controllare se c'è una versione compatibile, quindi aggiornarli (se sono moduli di terze parti controlla il sito o contatta l'autore).
-
forse questa esperienza può essere di aiuto:
forse hai riesumato un topic del 2013.. ;D
-
;D ;D
hai ragione, ma il vero colpevole del RU è fabiosbest ;D
cercando situazioni analoghe questo era uno dei topic più in cima ;)