Joomla.it Forum
Joomla! 3 => Joomla! 3 => : maxilbotto 04 Jan 2016, 12:55:09
-
Ciao a tutti
mi è comparsa questa scritta "Copy success!" nella prima riga di ogni pagina del mio sito joomla.
Guardando la sorgente pagina la scritta compare prima del Doctype
se utilizzo la consolle di Chrome la trovo appena dopo il tag body
Qualche suggerimento per eliminarla?
Qualche giorno fa ho trovato il file index.php danneggiato e l'ho sostituito con uno di backup e tutto è tornato a posto.
Non ho notato se la scritta ci fosse già o se è comparsa dopo.
Grazie
-
Ciao maxilbotto,
il 14 dicembre 2015 hai tempestivamente aggiornato il tuo sito alla versione 3.4.6 di Joomla oppure hai atteso qualche giorno?
...oppure la tua versione di Joomla non è ancora aggiornata (attualmente l'ultima versione è la 3.4.8 ) ?
-
Ciao Alex
sono fermo alla 3.4.5
non ho fatto aggiornamenti da quando ho messo on line il sito circa due mesi fa.
-
allora molto probabilmente il tuo sito è stato bucato,
ti consiglio di ripristinare un backup magari anteriore al 10 dicembre ed appena online aggiorna all'ultima versione di Joomla ed aggiorna tutte le estensioni installate.
Prova anche a verificare se trovi sul tuo server questi file via FTP:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php
-
Grazie per l'aiuto
trovati entrambi i file:
il primo in questo percorso:
libraries/joomla/database/exporter.php
e l'altro nello stesso percorso che hai indicato ma si chiama
simplepie.php
-
azz.... allora sei proprio stato vittima di un attacco informatico e ti hanno bucato il sito.
Cancella tutto e ripristina un backup precedente l'attacco.
-
Prova anche a verificare se trovi sul tuo server questi file via FTP:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php
Salve,
il file:
libraries/simplepie/simplepie.php
è originale di joomla.
Invece:
libraries/simplepie/simplepie.lib.php
è quello tarroccato...
-
ti risulta male,
lo puoi verificare anche online nel Github del progetto:
https://github.com/joomla/joomla-cms/tree/master/libraries/joomla
nella cartella libraries/joomla/ c'è un solo file di nome factory.php
-
Grazie per l'aiuto
trovati entrambi i file:
il primo in questo percorso:
libraries/joomla/database/exporter.php
e l'altro nello stesso percorso che hai indicato ma si chiama
simplepie.php
i file:
libraries/joomla/database/exporter.php
libraries/simplepie/simplepie.php
sono originali di joomla (basta andare a vedere nel pacchetto d'installazione). (scusa Alex...avevo letto male la cartella...)
Con winmerge si può fare un confronto e vedere se sono uguali...
Invece:
libraries/joomla/exporter.php
libraries/simplepie/simplepie.lib.php
sono quelli tarroccati...
Io ho fatto tutti gli aggiornamenti il giorno stesso della pubblicazione della patch...non mi sembra di essere stato attaccato e non ho mai avuto la scritta "Copy success"...
Speriamo bene!
-
Vedo che sul post
https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj (https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj)
stanno scrivendo che il file:
libraries/joomla/database/exporter.php
è comunque malevolo...ma allora anche la distribuzione ufficiale di joomla 3.4.8 è infettata?
Io non credo...
Io non posso scrivere su google+ ...forse è meglio che qualcuno rettifichi la notizia?
-
prima di eseguire aggiornamenti su un sito infetto, procurarsi un pacchetto Joomla della stessa major version e decomprimerlo.
0) mettere il sito "fuori uso" inserendo un index html o nominando un attimo l'index.php in txt
1) eliminare la cartella libraries da remoto e caricare la cartella libraries dal pacchetto nuovo.
2) stessa cosa con tmp e cache.
3) Dovete trovare la shell... se siete fortunati è un file strano nella root (perchè è lì che si copia la prima volta e se non la spostano lì rimane)
4) con phpmyadmin svuotare la tabella sessions e se memorizzate su file eliminatelo
5) rimettere in condizioni di ripartire il sito togliendo ciò che avete fatto per renderlo inutilizzabile.
6) procedere immediatamente con l'aggiornamento.
-
Vedo che sul post
https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj (https://plus.google.com/+Joomlait/posts/Xk82ZH7zTkj)
stanno scrivendo che il file:
libraries/joomla/database/exporter.php
è comunque malevolo...ma allora anche la distribuzione ufficiale di joomla 3.4.8 è infettata?
Io non credo...
Io non posso scrivere su google+ ...forse è meglio che qualcuno rettifichi la notizia?
No attenzione hai fatto confondere anche me, c'è scritto:
su molti di questi siti si verifica la presenza del file libraries/joomla/exporter.php
-
Buongiorno a tutti
ho provato la procedura di MariaElenaBoschi sopra descritta ma il sito non è tornato a funzionare.
Ora (ma anche prima di provarla) non ho accesso al sito e non ho accesso a phpmyadmin. Con un altro tool ho accesso al database.
Penso che dovrò cancellare tutto e ripristinare i backup.
-
Ancora buongiorno
Ho ripetuto la procedura postata qui sopra da mariaelenaboschi e funziona.
Il sito è tornato a funzionare senza altri interventi ed è aggiornato all'ultima versione.
Grazie a tutti per i suggerimenti.
Max
-
Salve a tutti, anche io ho avuto la fortuna di aver bucato il sito.
Seguirò la procedura che ha descritto Maria Elena.
Però ho ancora dei dubbi su alcuni file che mi ritrovo in più dopo una comparazione tra il sito bucato e quello di buckup.
Elenco i file :
media\overroder\css\ sort-45.php
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
rtbwvcsxrnbsvcd.php (nella root del sito )
Qualcuno gentilmente mi saprebbe dire cosa sono questi file se li posso cancellare dopo o prima l'operazione descritta da Maria ?
Grazie mille anticipatamente spero in un vostro aiuto sto impazzendo.
-
Accodarsi a post risolti non è mai cosa buona o opportuna, ogni situazione non è mai uguale anche perchę uguale problema richiede uguale soluzione. Ad evitare incasinamenti ti chiedo di aprire un tuo post ove descrivi la tua situazione, forse simile ma sicuramente non uguale. Grazie.
-
Ok scusate non sapevo !!!
-
media\overroder\css\ sort-45.php
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
rtbwvcsxrnbsvcd.php (nella root del sito )
cosa sono è difficile dirlo senza vederli ma sicuramente non sono di joomla.
Ci sono cartelle che solitamente non vengono toccate dall'installazione di estensioni, una di queste è libraries, per cui conviene cancellare tutta la directory e copiarne una sana da un pacchetto nuovo, quindi
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
verrebbero eliminati e anche quelli che potrebbero esserti sfuggiti
Questo ovviamente lo cancelli, dovrebbe essere la shell.
rtbwvcsxrnbsvcd.php (nella root del sito )
Questo non saprei, se joomla non ce l'ha toglilo, comunque se nn usi postgresql puoi anche eliminare la cartella
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
Overroder non mi sembra appartenga a joomla.
media\overroder\css\ sort-45.php
-
Grazie Maria dei tuoi consigli,
sembra tutto funzionare perfettamente, dopo aver fatto tutti i controlli e seguito alla lettera la procedura che hai suggerito.
-
Mi lego a questo post solo perchè ho avuto un attacco simile con una versione 3.3 di Joomla.
La mia shell si trovava in /administrator/administrator.php
Vorrei procedere con una pulizia della cartella libraries tuttavia ci sono delle cartelle che sono state create dal framework gantry, dal forum kunena, rokcommon. Premetto quindi che queste cartelle le controllerò file per file con un backup antecedente alla compromissione (backup che non uso solo perchè è di un mese più vecchio e il cliente ha inserito molti contenuti nel periodo natalizio).
Vi vorrei chiedere quindi se i contenuti delle cartelle presenti di default in /libraries vengono modificati dall'installazione dei componenti e plugin...
Vi dico solo che dopo l'avviso di compromissione del sito da parte di GOOGLE, ho eliminato questi file e stringhe di funzioni inserite nei file, ed anche il sitemap.xml inviato dall'Hacker. Google ha tolto la compromissione, tuttavia i link indicizzati (frutto della compromissione) ci sono ancora. Sto procedendo con una rimozione manuale di URL. Secondo me non è ancora del tutto pulito, da qualche parte ci deve essere un file che butta URL a cui il sito doveva dirottare...
Nel frattempo ho aggiornato tutto, e ho cambiato tutte le password.
Grazie dell'aiuto
-
se ti attacchi ad un post almeno leggilo.
Vi vorrei chiedere quindi se i contenuti delle cartelle presenti di default in /libraries vengono modificati dall'installazione dei componenti e plugin...
Ci sono cartelle che solitamente non vengono toccate dall'installazione di estensioni, una di queste è libraries, per cui conviene ...
-
Ho letto tutto . (Se solo non avessi letto non avrei nemmeno saputo della possibilità di bonificare la cartella libraries attraverso la sovrascrizione come gentilmente tu hai proposto)
Il tuo solitamente, tuttavia, non è una risposta certa. Volevo approfondire appunto questo.
Grazie :)
-
se sovrascrivi non è detto che "pulisci" perche i file modificati verranno sovrascritti ma quelli aggiunti restano li!
-
Chiaramente volevo dire sostituzione*
*Sostituzione della cartella libraries del sito compromesso con la cartella libraries presa dai files di installazione della versione di joomla che monta il sito compromesso.
Scusate :)
-
non posso conoscere tutti i componenti esistenti e se tu ne hai uno che usa questa cartella per cui non si può approfondire, se uno ha il dubbio deve verificare
-
ma questa cosa è possibile anche con una vecchia versione di joomla 1.5.x ?
media\overroder\css\ sort-45.php
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
administrator\components\com_admin\sql\updates\postgresql\ com_loader.php
rtbwvcsxrnbsvcd.php (nella root del sito )
cosa sono è difficile dirlo senza vederli ma sicuramente non sono di joomla.
Ci sono cartelle che solitamente non vengono toccate dall'installazione di estensioni, una di queste è libraries, per cui conviene cancellare tutta la directory e copiarne una sana da un pacchetto nuovo, quindi
libraries\joomla\ exporter.php
libraries\joomla\crypt\password\ cp1251-az.php
verrebbero eliminati e anche quelli che potrebbero esserti sfuggiti
[/size][size=78%]Overroder non mi sembra appartenga a joomla.[/size]
media\overroder\css\ sort-45.php