Joomla.it Forum
Non solo Joomla... => Sicurezza => : Cloud7 29 May 2016, 23:15:00
-
Ciao ragazzi!
Oggi collegandomi ad uno dei miei siti Joomla, ho notato che nella cartella principale ci sono almeno una trentina di file .php e .zip con dei nomi molto strani. Ve ne riporto alcuni:
Alviin.php
creature.php
J.E.php
Nerilien.php
Laury.php
Glyn.zip
peace.php
par.zip
pure.zip
lost.zip
Cosa potrebbe essere? Premetto che Joomla è aggiornato all'ultima versione.
Grazie in anticipo!
-
non basta avere aggiornato joomla, ma anche le estensioni devono esserlo poi rimane il server....
-
E' tutto aggiornato ragazzi. Quindi pensate che qualcuno lo abbia hackerato?
-
magari è il server che non è sicuro.
Ma almeno hai controllato cosa c'è dentro quei file?
Nella sezione sicurezza, dove avresti dovuto postare, c'è un articolo in testa in relazione a siti bucati e cosa eventualmente si deve fare, leggilo ;)
-
Giusebos innanzitutto grazie per la risposta!
Si può spostare il post nella sezione sicurezza?
C'è una cartella, che si chiama "yodp3x".
Se cerco su Google non trovo molto, ma non sembra nulla di buono...
All'interno c'è un file htaccess, alcuni php e altri file di testo.
-
si certo che si può spostare.
quelle cartelle e file non fanno parte di joomla e temo che oramai la tua installazione sia compromessa.
Chi ti ha violato il sito non si sa esattamente cosa ti ha fatto e quali porte si è creato per entrare in comodità quando vuole, quindi considera di recuperare database immagini e template (che ricontrollerai come si deve) e poi ricostruisci il sito
-
Aggiornamento: credo c'entri Akeeba Backup. Se provo ad entrare, mi richiede una password che non ho mai messo. Ho disinstallato il componente e l'ho reinstallato.
-
quindi i seguenti file sono di akeeba backup?
Alviin.php
creature.php
J.E.php
Nerilien.php
Laury.php
Glyn.zip
peace.php
par.zip
pure.zip
lost.zip
-
No, assolutamente no.
Dico solo che probabilmente chi è entrato e ha fatto quello che ha fatto, poi ha impostato una password su Akeeba, in modo tale che io non potessi usarlo.
-
io credo che hai il sito compromesso e che se non rifai un installazione rischi.......
-
Hai perfettamente ragione.
Ma c'è un modo per evitare di resettare tutto?
-
recitare 7 pater ave gloria, 5 pater noster, 2 avemaria
-
Ahahah mi sembra giusto! ;D
-
Ma c'è un modo per evitare di resettare tutto?
ciao Cloud7,
si c'e', ma davi fare anche controlli manuali, come verificare la presenza di files php sospetti anche in altre cartelle, ripristino di un vecchio Database, cambio password FTP e DB, verificare a fondo tutte le estensioni e plugin, insomma tante ore di lavoro e la certezza di non avere certezze almeno al primo colpo.
-
Anche in questo caso farei il debug al sito e poi una bella pulizia
-
Anche in questo caso farei il debug al sito e poi una bella pulizia
io credo che fare pulizia su una installazione di joomla controllando file per file, è un lavoro per chi ha qualche giornata libera. :P
Molto più veloce invece ricreare un sito con template e componenti e poi fare uno switch sul database storico ;)
-
sempre qualche giornata libera serve!
se il db è stato compromesso sempre la porta aperta lasci
-
sempre qualche giornata libera serve!
se il db è stato compromesso sempre la porta aperta lasci
carissima, del db si prende solo ciò che efettivamente serve, e di questo sene può controllare velocemente la qualità ;)
Consiglierei anche a te la lettura dei post in apertura su questa sezione :)
-
da come hai scritto, avevo inteso che volessi solo spostare il db
-
Ragazzi grazie a tutti per le risposte.
Il problema nasce probabilmente da una cartella di un vecchio backup di non so quale arcano cms che era stata lasciata nell'FTP, che adesso è stata rimossa.
Prima di resettare tutto e ripartire da zero, il mio hosting ha creato una cartella contenete i file sospetti (probabilmente utilizzati per spedire email di spam), dei quali vi riporto i nomi di seguito (per i posteri):
elements.php
license.php
post.php.bz2
post.php_CHECK#
post.php_CHECK#_2
selcuk.php
post.php__CHECK#