Joomla.it Forum
Non solo Joomla... => Sicurezza => : armal67 02 Jan 2010, 10:17:58
-
Vi chiedo una mano, il mio sito www.armalweb.net è da ieri che si presenta con la home cambiata da hacker turchi, se ho capito bene. Il provider mi ha detto di ricaricare la index via ftp e io che ho degli altri siti fatti in joomla mi sono accorto che la index riporta le stesse diciture (scusate ma non ne so molto di siti internet) ho provato a ricaricare la index.php e la index2.php ma niente.
Ditemi se tutto il mio lavoro è andato a farsi friggere o se ho ancora qualche speranza.
grazie.
-
Da quanto vedo, il sorgente è di una pagina html, quindi nella root di joomla avranno messo una index.html e non php quindi il server la carica di default.
Se esiste prova a togliere la index.html
Fammi sapere!
-
Oppure hanno modificato l'index.php del tuo template che avevi mettendoci solo codice html. Sicuramente è una di queste due cose.
Addirittura hanno messo un index.html in ogni directory dell'ftp.
-
Questa è la schermata dell'ftp
(http://forum.joomla.it/home/armal/Scrivania/schermataftp.png)
come dicevo io ho cambiato la index.php e la index2.php ma il risultato non cambia
la index.php corrotta era questa:
-
per cortesia precisa la versione esatta di joomla che avevi installata, l'ultima è la 1.5.15
e non diffondere le cose che inseriscono nella rete, per cortesia eliminale, grazie.
ps
dimenticavo, prova a sovrascrivere il template che usavi, via ftp
e cambia tutte le credenziali di accesso, ftp e database comprese
-
guarda se i file nella root li hai sostituiti ok...adesso se hai un bckup dell' ftp ricarica la cartella templates oppure solamente l'index.php del template che usavi.
Comunque anche se vai in /administrator fa la stessa cosa, quindi o hanno modificato anche l'index.php in questa directory o hanno messo dei file index.html in tutte le directory del sito.
-
Ok provo a fare quello che mi avete consigliato, scusa ma non sono un molto ferrato in programmazione.
-
Ho trovato delle index.html nelle directory del sito, volevo spostarne una sul mio pc per vederela, via ftp, ma mi disconnette. Cosa faccio, provo a cancellarle?
-
hai avvisato il servizio assistenza hosting?
e la versione esatta di joomla quando ce la dici?
-
Perchè si dovrebbe disconnettere...non vedo relazioni tra connettività ftp e file, quindi non saprei.
Al limite prova ad impostare un editor di testo come visualizzatore di default di file ad esempio blocco note su win e se aprili senza effettuare il download.
Comunque te li deve scaricare e dicci che versione di joomla è!
-
Sono riuscito a ricaricare la index, io uso joomla 1.5.15, ora devo eliminare tutte le index.html in giro nelle root?
Si ho avvisato l'hosting.
Grazie a te Francesco e a tutti
Armando
-
Sono riuscito a scaricare una index.html ed è la solita che compare ogni volta che aprivo il sito prima. Le posso cancellare tranquillamente?
-
vedo che lo hai ritirato su...comunque acmbia password ftp e database (non si sa mai)...
-
è capitato anche a me... è un tipo di attacco veramente infestante... ti conviene ricaricare un backup
-
Mi ero fermato per pranzare e ora mi ritrovo che il sito non ha più le pagine index.html che creavano il problema nelle root e non più visibile, aspettavo una risposta via email del provider...... speravo di essere sulla buona strada per sistemare tutto :(
-
mmm brutto segno! secondo me l'hacker ti sta controllando...oppure o te o qualcun altro ha messo mano al ai file del modulo di login....
-
non io, avevo solo ripristinato il template del front end. Mi sa che se continua così mi toccherà reinstallare tutto.
-
Non hai un backup del sito?? non c'e' nemmeno bisogno di agire sul db.
Per completezza di informazione per il resto del forum vorrei puntualizzare che l'unico sito dei miei bucato era quello che non avevo aggiornato joomla ero fermo alla 1.5.9
-
Secondo me stai facendo un casino della madonna per nulla.
Devi fare 4 cose efarle nell'ordine giusto.
Non devi tornare indietro o fare nessun pasticcio, e aspetta ad eliminare le index.html che sono quelle che proteggono la visibilità delle cartelle.
Devi, nell'ordine:
1) Scaricare, backuppando anche il db, tutto ciò che sta online.
Finito di scaricare metti una bella index.html con "lavori in corso".
Ranza via completamente tutto, sito e db.
2) prima di riuppare qualsiasi cosa contatta il tuo provider e fatti cambiare tutte le password.
3) quando hai le password uppa una nuova versione appena scaricata di joomla.
Ora dai un'occhiata a tutti i files del tuo template in locale, per essere sicuro che il codice stia li.
Dai un'occhiata anche alle cartelle contenenti immagini se ce n'è qualcuna strana o che non ti appartiene.
Riuppa i files.
4) spulciati un po' il db, soprattutto le tabelle content o che comunque hanno contenuti testuali per vedere che non ci sia del codice malevolo, dopodichè riuppa anche il db.
...dovresti essere a posto.
Se contatti il provider, fagli leggere l'articolo che ho postato proprio ieri in questa sezione, perchè mi sa che il problema è quello, e se è quello è inutile continuare a cambiare pw... è lui che deve risolverlo.
Maurizio
-
mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.
-
avevo solo eliminita la index.html che bloccava la home dopodiché ho pranzato quando sono tornato davanti al pc mi sono trovato con tutto cambiato. Ora farei quello che mi dici tu Maurizio ma ho paura di non saltarci fuori e oramai lo faccio questa sera per non interrompere a metà come oggi.
Grazie
-
mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.
...umhh, credo di sì, poichè è meglio che la gente cominci a svegliare i propri hoster, come vedi continuano a bucare anche l'ultima versione di joomla, credo che sia questo da evitare, visto che non è lei il problema.
Comunque questa notizia sta già su tutti i principali forum hacker, è da lì che parte tutto questo casino di attacchi.
Inoltre se guardi l'advisory (pubblica da 1 mese) esiste anche un bel download dell'exploit.
... non credo di essere io la causa, spererei di essere il rimedio o la causa del rimedio.
Comunque se decidete di rimuovere il post guarda che non mi offendo ;)
Maurizio
PS: armal, se vuoi postarmi in pvt l'hosting e il sito provo a dargli un'occhiata (no le pw solo gli indirizzi)
-
Ora aspetto risposte dal provider, ho fatto 5 siti su di lui, per me ed amici, e 2 non funzionano e hanno un indirizzo per il pannello Omega, anche questo con la solita pagina infettata, mentre gli altri tre funzionano e hanno 3 indirizzi differenti per il pannello Omega.
-
Comunque se decidete di rimuovere il post guarda che non mi offendo
ci mancherebbe pure..
ho semplicemente chiesto perchè non sapevo se erano notizie avanzate/riservate (diciamo così) o già di dominio pubblico..
avrai notato che evito anche di scrivere certi termini sostituendoli con altri ad esempio "simpaticoni" o "burloni" ecc..
i motori di ricerca li conoscono tutti ed è meglio che sia così..
sempre bene non inserire "rune" da nessuna parte..
ciao
-
Allora, ho ricevuto il pvt e ho controllato il tuo sito: il problema è sempre lo stesso o simile, è l'hosting.
Tutti o quasi i siti su quel server sono stati violati.
Metto un link ad un sito su quel server che ha la tua stessa index per spiegarti:
freebookhotel.com/
:) è stato gentile! Ti ha lasciato anche la soluzione sull'img della shell.
Probabilmente ha bucato questo sito e da questo è partito con i link simbolici al file s.txt
Se leggi le righe + o - riesci a capire come si è spostato.
E' sicuramente un ragazzino che ha usato un fantomatico priv8.tar :) ... non si capisce il perchè, visto che lo scopritore della vulnerabilità ne fornisce anche l'exploit.
M.
PS ...cambia hosting!
EDIT: scusa Francesco, ci siamo scavalcati :)
Non mi permetterei mai di divulgare una cosa che non sia ancora stata resa pubblica.
Come ripeto, la mia intenzione è di velocizzare questo fix dei vari hoster perchè la cosa dilaga molto velocemente...
-
:'(
Salve,
purtroppo mi sono ritrovato anche io nella stessa situazione. Stesso server di freebookhotel.com....stesse conseguenze.
Appena accorto di quanto accadeva ho avvisato l'hoster in questione con 2 mail tramite apposito spazio contatti sul sito (unico metodo di comunicazione) e ancora dopo 12 ore nessuna risposta.
Il problema nel mio caso si aggrava in quanto, forte del backup giornaliero, non avevo fatto una mia copia di backup del sito e del DB.
Il sistema di gestione del backup sovrascrive ogni giorno quello del giorno prima....e quando ho provato a cercare quello buono da uppare mi sono trovato con quello hackerato con tutti i file "index" inservibili.
Chiedo da profano lumi a riguardo, possibili soluzioni, qualche consiglio e sapere come deve comportarti con l'hoster....cosa è lecito pretendere..
Vi ringrazio anticipatemente
Un saluto a tutti
PS La versione Joomla era recentissima....scaricata non più di un 15-20 giorni
-
mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.
Salve il link all'articolo qual'è?
Perchè non pubblicare anche il nome dell'hoster "colpevole" oltre al codice di exploit?
-
websitter
cos'è stamani ti sei dimenticato le regole del forum?
non si parla di servizi commerciali, vale nel bene (a afargli pubblicità) e nel male (quando hanno problemi)
per questo motivo ho già cancellato alcuni tuoi post e per cortesia evitami una proposta agli altri moderatori per provvedimenti nei tuoi confronti, ok?
-
websitter
cos'è stamani ti sei dimenticato le regole del forum?
non si parla di servizi commerciali, vale nel bene (a afargli pubblicità) e nel male (quando hanno problemi)
per questo motivo ho già cancellato alcuni tuoi post e per cortesia evitami una proposta agli altri moderatori per provvedimenti nei tuoi confronti, ok?
Non ho mai fatto nomi degli hoster nei miei post, semplicemnete mi sono immedesimato in chi si sveglia con sito hackerato/defacciato per colpa di un hoster poco attento.
Ripeto non ho mai fatto nomi, se poi consigliare di cambiare hosting è un reato...
Buona giornate Francesco