Joomla.it Forum
Non solo Joomla... => Sicurezza => : BobbyMilk 05 May 2014, 10:07:13
-
Ciao a tutti,
Avevo aperto un post precedentemente e dopo aver seguito alcune guide sulla sicurezza sono riuscito a risolvere una parte dei problemi, oggi mi trovo a dover affrontare una situazione analoga ma questa volta le modalità di infezione sono differenti, arrivando al dunque, il mio sito si è indicizzato su google con una marea di sottoindirizzi che rimandano al ***, quello che ho scoperto è che nella cartella miosito/images/cache compaiono una marea di file .tmp che contengono i link appunto inerenti a *** e quantaltro, se io svuoto tale cartella tutte le pagine indicizzate su google risulteranno con i link non più validi, il problema è che dopo poche ore cominciano a ricomparire. Qualcuno sa consigliarmi una potenziale soluzione per questo tipo di problema?
Grazie
-
stai usando qualche estenzzzione miracolosa per la riscrittura degli indirizzi per caso?
infatti
images/cache compaiono una marea di file .tmp
mai visto niente del genere....
se si, togliela e lascia che joomla lavori di suo, lavora benissimo al naturale.
-
Guarda estensioni particolari direi proprio di no, ti può essere utile l'elenco delle estensioni installate sul mio sito?
-
Guarda ho preparato un PDF che contiene l'elenco completo delle estensioni: http://www.comeser.it/estensioni.pdf
-
una marea di sottoindirizzi che rimandano al ***
la lista delle estensioni non mi dice niente anche perchè non le uso proprio quelle aggiuntive che vedo, non capisco cosa ci sarebbe al posto degli asterischi potrei intuire solo che stai usando un template (e ne usi uno) che se modificato o nel tempo scatena una serie di trojan o di indirizzi a siti di gioco del poker e forse anche peggiori..
perchè non inserisci come risposta un link al tuo sito?
-
francesco il mio sito è www.comeser.it
per capire l'anomalia basta cercare su google comeser ***, compaiono una marea di link, se li clicchi adesso ti dirà che la pagina non è esistente proprio perchè ho svuotato la cartella images/cache
-
Domanda,
Anche se non sarà una soluzione definitiva ma tampone, è possibile cancellare automaticamente i file presenti nella cartella images\cache? Diversamente chiedo questo, non ho trovato nelle guide la funzione di questa cartella, è possibile toglierla?
-
ciao
ho provato a cercare e mi sembra tutto normale, non trovo i link che dici, meglio così no?
e poi
images/cache
non utilizzando le tue estensioni non saprei dire quale componente usa questa cartella, in linea di massima se è una cache si dovrebbe gestire dal componente stesso e anche poter cancellare da ftp senza problemi, forse hai la cartella images che nel robot viene dichiarata allow e forse aggiungendo la riga disallow images/cache al file robot.tex dovresti poter lasciare la cache ed evitare che il robot accendendovi la indicizzi.
infine
una ottimizzazione al sito sarebbe opportuna anche se non indispensabile.
-
Ho controllato il file robots, attualmente la cartella images è disallow, ho comunque provato a rinominare la cartella images/cache per vedere che cosa succede, il mio sospetto è che questa cartella sia stata generata direttamente dal Malaware che affligge il mio sito, francesco, se cerchi comeser e basta su google compaiono fortunatamente i link corretti, cercando comeser "nome della pillola blu" allora vengono visualizzati parecchi riferimenti al mio sito con uno shop di farmaci, come dicevo ieri questi link adesso rimandano ad una pagina scaduta inquanto si sono disattivati dopo che ho cancellato questa cartella cache. Ultima cosa ti chiedo, a cosa ti riferisci in merito all'ottimizzazione del sito?
Grazie 1000
-
Aggiornamento:
Ho scoperto che il file Framework.php è stato modificato, ho trovato questo tag:
require_once dirname(__FILE__) . '/joom.php';
Il problema è che non capisco cosa sia questo file joom.php, è un file che contiene una marea di variabili ma non capisco a cosa sia associato.
-
E' sicuramente un file malevolo, se sei stato hackerato ti conviene darci un taglio e seguire le procedure dette e ridette in questa sezione per cercare di salvare il salvabile.
-
tom ho letto diverse guide, il problema è che non ho trovato situazioni analoghe alla mia, purtroppo il mio ultimo backup sano è abbastanza vecchio perchè mi sono accorto tardi di questo hack, volevo cercare di sistemare il sito.
-
Le soluzioni riguardo un hackeraggio sono più o meno le stesse, backup se sano e se recente, rifacimento ex novo con trasbordo manuale o tramite estensioni export/import dei contenuti, reinstallazione stessa versione e stesse estensioni e sostituzione db. Rimanere sulla stessa base compromessa e cercare di recuperarla non ti assicura mai al 100 percento, credimi ci sono passato, faccio backup settimanali e per un sito avevo tutti i backup conservati in un vecchio hd sostituito e non cancellato da oltre quasi due anni ed erano tutti compromessi anche se l'hack è esploso dopo i quasi due anni senza che nel frattempo ci sia stata alcuna anomalia o allarme. Non voglio creare panico, sarò stato sicuramente sfortunato oppure i backup saranno stati infettati successivamente, ma se vuoi rischiare sei libero di farlo. :)
-
tom vedo che anche te sei stato coinvolto in una spiacevole vicenda di hack, non dovessi risolvere comunque provvederei ad una reinstallazione del template, prima ovviamente mi dovrei documentare bene per evitare perdite di dati, chiedo un'ultima cosa, ho letto che è importante proteggere la cartella administrator con con l'impiego del file .htpasswd, non riesco a trovare una spiegazione esaustiva, c'è qualche buona guida in merito a questa cosa?
-
Lascia perdere le protezioni delle cartelle servono a poco e comunque gli attacchi non passano per la cartella administrator, io nel mio caso ho risolto reinstallando e spostando i contenuti.
-
Per reinstallare e spostare i contenuti esiste una procedura?
-
Reinstallare equivale a installare dopo la cancellazione del vecchio. Per spostare esistono estensioni o lo si può fare a mano.