Joomla.it Forum
Non solo Joomla... => Sicurezza => : aip 06 May 2014, 22:21:44
-
HO avuto l'ennesimo attacco da parte di "Ayyildiz team", il sito utilizza joomla 3.2.3.
Hanno modificato l'home page e l'utente admin inserendo una loro password e l'invio alla loro email: azazaza@hotmail.it
ovviamente entrato nel db per prima cosa ho modificato la password e quindi ho potuto accedere al sito in modalità amministratore.
Però non riesco a ripristinare la mia "home page", nonostante abbia rimesso sia il configuration.php che index.php
Dove posso trovare il loro reindirizzamento ?????
nel DB ????
Vorrei evitare di cancellare tutto e ricrearlo.
grazi a chi ha dei consigli
-
un link?
E comunque se è L'ennesimo....probabile che tu abbia estensioni vulnerabili
-
Hai provato a controllare il file .htaccess?
ti conviene scaricare tutto il codice ed analizzarlo per vedere se ci sono injection sospette
-
ti conviene scaricare tutto il codice ed analizzarlo per vedere se ci sono injection sospette
e magari ci mette una vita senza trovare nulla, la soluzione è sempre la stessa, rifare daccapo l'installazione stessa versione, aggiungere tutte le estensioni stessa versione presenti, sostituire il nuovo db col vecchio e poi aggiornare.
-
Per linux ci sono tool per il controllo file
https://www.rfxn.com/projects/linux-malware-detect/
presumo che ci sia qualcosa anche per windows per facilitare lo scan locale
-
Ciao aip,
prova a re-installare il template ;)
Che estensioni usi? Giusto per una casistica e magari individuare la "breccia" dove sono entrati... ;)
-
ai mie tempi non avremmo mai pubblicato il nome e pure le azioni di uno di quei burloni..
se fate così oltre a richiamarli perchè adorano trovarsi nei motori di ricerca ne amplificate le gesta, ricordatevelo.
-
ai mie tempi non avremmo mai pubblicato il nome e pure le azioni di uno di quei burloni..
se fate così oltre a richiamarli perchè adorano trovarsi nei motori di ricerca ne amplificate le gesta, ricordatevelo.
spetta che me lo segno... ;D
-
Grazie delle risposte.
Non ho utilizzato particolari plugin o moduli, se non una piccola galleria utilizzando oziogaller e akeeba
backup
Ho fatto una verifica su htaccess, ma non rilevato nulla di anomalo.
Premesso che ho risolto ripubblicando tutto dal una copia che avevo suc omputer locale (la miglior soluzione), non ho voluto utilizzare neanche il backup fatto con akeeba .
Lo scopo del mio post, è utile se qualcuno ha un tool o suggerimenti di come verificare "automaticamente o quasi" quali file sono stati modificati, magari facendo un raffronto fra quanto contenuto nel sito ed una copia di backup in locale o con altro tools
O ancora meglio sapere la sequenza utilizzata da joomla, per avviare la pagina iniziale!!
(cerco di spiegarmi es. prima legge il file configruation.php di ... poi .... index .... della cartella ... poi carica il db...)
Comunque grazie a tutti
-
Grazie delle risposte.
non c'è di che, le hai lette almeno?
Ho fatto una verifica su htaccess, ma non rilevato nulla di anomalo.
e cosa avresti voluto di trovarci?
semmai dai una occhiata al file error.php lo trovi nella cartella logs che sta nella root del sito.
magari facendo un raffronto fra quanto contenuto nel sito ed una copia di backup in locale o con altro tools
si se hai le copie puoi fare un raffronto, con software professionali o anche con notepad++ che è alla portata di tutti perchè gratuito
O ancora meglio sapere la sequenza utilizzata da joomla, per avviare la pagina iniziale!!
(cerco di spiegarmi es. prima legge il file configruation.php di ... poi .... index .... della cartella ... poi carica il db...)
solita procedura:
il browser cerca una index.html e se non la trova allora cerca una index.php e se non la trova passa ad un index con altra estensione gerarchicamente (è una convenzione) "minore"
(con joomla la index.html brilla per essere un file usato per restituire pagina vuota se uno ad esempio scrive nomesito/templates e andrebbe inserito sempre in ogni nuova cartella installata )
da li in poi il browser del navigatore esegue le istruzioni che trova nella index interagendo con l'archivio del server remoto..
Comunque grazie a tutti
non c'è di che.
-
Controllerò il file error.php.
Ti ringrazio, volevo una conferma sulla sequenza