Visualizza post

Questa sezione ti permette di visualizzare tutti i post inviati da questo utente. N.B: puoi vedere solo i post relativi alle aree dove hai l'accesso.


Topics - Ultima

Pagine: [1]
1
Ciao a tutti!


Scrivo questo veloce topic sperando che risulti utile a qualcuno che come me si è trovato da un giorno all'altro il sito hackerato.


Il problema è che il sito è accessibile solamente in maniera diretta, ovvero digitando l'indirizzo completo nel browser tramite la barra degli indirizzi.
Anche accedendo al sito attraverso link diretti presenti ad esempio in pagine facebook tutto è funzionante come sempre.


Invece se si prova ad accedere al sito da un qualsiasi motore di ricerca, come google ad esempio, il sito non è visibile!
Quello che si visualizza è una pagina totalmente bianca e nella barra degli indirizzi il seguente url:
*******


Non so come hanno fatto questi maledetti so solo che mi hanno fatto perdere mezza giornata e che molte persone mi hanno (per fortuna) contattato per dirmi che il mio sito era down. [figuraccia]




Qui vi elenco in maniera concisa tutto ciò che ho fatto per riportare il mio sito a lavorare alla perfezione:


1) Cambiare tutte le password e tutti gli username di accesso a qualsiasi cosa sia collegata al mio sito.
Esempi: email, pannello di controllo del hosting, joomla, FTP, phpmyadmin, ecc ecc ... !!!


2) Mettere il sito offiline


3) Connettersi al sito in ftp tramite filezilla e usare la funzione: Server -> Search Remote Files ...


4) Cercare il file:  showthread.php


5) Eliminare TUTTI I FILE TROVATI


6) Modificare il file .htaccess presente nella root directory eliminado tutte le righe racchiuse nel target:
  <IfModule mod_rewrite.c>


7) Rimettere online il sito web




Il virus sembra essere composto da due file:
showthread.php     e    .htaccess


che si propagano in svariate cartelle per essere raggiungibili in vari modi e quindi difficilmente eliminabili.
Nel primo ci sono le direttive da effetuare e nel secondo la redirect da aggiungere al sito.


Io avevo circa 70 files showthread.php !!!!!!




Eliminate se volete anche tutti gli .htaccess  tranne naturalmente quello vostro principale che si trova nella ROOT DIRECTORY!


Quello dovete modificarlo eliminando le prime righe che hanno questa forma:



<IfModule mod_rewrite.c>


   RewriteEngine On
   RewriteBase /


   RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
   RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
   RewriteRule ^.*$ ******** [L,R]


</IfModule>




Per adesso, non avendo tempo, questi sono i passi che ho effettuato sul mio dominio per ripristinarlo.
Adesso tutto sembra essere tornato alla perfezione.


Il problema è che non ho capito la natura di questo attacco. Cioè come è stato eseguito.


Se è un problema della versione di joomla che ho e cioè la 1.5.26  oppure se è dovuto a qualche componente che ho installato o plugin che presenta qualche falla...


Per evitare che ciò avvenga di nuvo al più presto effettuerò una migrazione all'utlima versione stabile di joomla e riaggiornerò tutti i vari componenti e plugin.


Vi consiglio vivamente di fare lo stesso ;)


Buona fortuna!  8)




EDIT: Ho notato che al ripristino del mio sito tutto funzionava come prima tranne un componente .. ovvero


Exposè 4 -


è un componente che utilizzavo per mostrare una gallery di fotografie ..
credo che la falla sia dovuta a lui ...
e lavorandoci sopra vedo che cerca di connettersi ad un url del tipo:


******


Al più presto provvederò ad eliminarlo dal mio sito e a trovare un buon sostituto.


Se ci sono persone che ne sanno più di me per favore si facessero sentire!!!


Grazie a tutti!
 
Edit: Rimossi link malevoli.

2
Ciao ragazzi ho un problema che proprio non riesco a risolvere e ve ne sarei grato se provaste ad aiutarmi :)


Ho appena effettuato l'aggiornamento di joomla dalla versione 1.5.26 alla 2.5.4 (ITA_STABLE) utilizzando la procedura descritta nel wiki di joomla e quindi usando Jupgrade.


Jupgrade sembra aver fatto tutto correttamente, in quanto mi ha dato il messaggio di installazione completata con successo!
anche se ora che ci penso, in basso c'era un piccolo output di debug di uno o due errori relativi a qualche tabella del database sql ... :/


L'installazione l'ho fatta in un'altra cartella lasciando intatto quindi il vecchio joomla 1.5.26 nella root.


ADESSO LA SITUAZIONE ATTUALE E' QUESTA:


Posso accedere tranquillamente alla root del mio sito utilizzando quindi joomla 1.5.26 sia in front-end che in back-end e tutto è normale e funzionante...


Invece quando mi collego a: www.miosito.it/jupgrade:
- dal front-end vedo il mio sito (anche se con un template che non è quello che usavo prima e con alcuni componenti che danno errori ... )
- dal back-end invece riesco a fare il login però subito ricevo questo maledetto errore che non riesco proprio a risolvere e che non mi fa accedere al mio pannello di controllo !!!


Vi posto l'errore:
500 - Si è verificato un errore. Table 'nomemiodatabase.j25_languages' doesn't exist SQL=SELECT a.id, a.title, a.checked_out, a.checked_out_time,  a.created, a.hits,l.title AS language_title,uc.name AS editor,ag.title AS access_level,c.title AS category_title,ua.name AS author_name FROM j25_content AS a LEFT JOIN `j25_languages` AS l ON l.lang_code = a.language LEFT JOIN j25_users AS uc ON uc.id=a.checked_out LEFT JOIN j25_viewlevels AS ag ON ag.id = a.access LEFT JOIN j25_categories AS c ON c.id = a.catid LEFT JOIN j25_users AS ua ON ua.id = a.created_by ORDER BY a.hits DESC LIMIT 0, 5
[size=78%]---------------------[/size]
Qualcuno sa dirmi dove potrebbe essere il problema?
Forse perchè ho fatto l'installazione senza preoccuparmi di controllare se tutte le mie estensioni effettivamente sopportassero joomla 2.5.4 ???
Aspetto ansiosamente una risposta ...
Grazie anticipatamente a tutti!! :)

Pagine: [1]
Host

Torna su