Sito scomparso senza una motivazione

[spaino]

ciao a tutti
ieri sera ho finito di lavorare al mio sito www.elioparty.it
stamattina funzionava tutto perfettamente, oggi pomeriggio accedo alla home page e mi restituisce questo errore

Parse error: syntax error, unexpected '<' in /web/htdocs/www.elioparty.it/home/index.php on line 89

tutt'ora il sito non va, ho appena contattato l'hosting per capire che problemi ci possano essere, ma non ho ottenuto nessuna risposta

avete consigli in merito?

[ramses_2th]

Credo che il sito sia stato attaccato ..... il mio antivirus mi segnale un malware.
Soprattutto se visualizzi la schermata administrator.

[wstoriadellarte]

Ciao,
ritengo anch'io che sia un hacker che ti abbia modificato il file index.php.

Prova a guardare alle linea 38, dove viene segnato un errore di sintassi.
Ho notato che puoi entrare nell'amministrazione, quindi probabilmente il tuo Joomla è stato corrotto da hacker.

Pochi giorni fa XXXXX  (che mi fa da hosting) mi ha inviato questa mail:

Gentile Cliente,

Con la presente arub desidera comunicare a tutti i clienti che utilizzano l’applicativo Joomla! per la creazione/gestione dei propri siti, che è stata individuata una vulnerabilità nelle versioni precedenti e/o uguali alla 1.5.20.

Tale vulnerabilità (chiamata in gergo XSS - cross site scripting) consentirebbe di accedere con poteri di amministratore alle pagine del sito web e modificarne il contenuto e qualora l’accesso fosse effettuato da malintenzionati, potrebbero addirittura essere causati danni al sito e ai visitatori dello stesso.

Il team di Joomla! ha prontamente provveduto a rilasciare la nuova security release 1.5.21 del software, reperibile alla pagina:
http://www.joomla.org/announcements/release-news/5300-joomla-1521-released.html

Per maggiori informazioni e dettagli tecnici:
• http://developer.joomla.org/security/news/9-security/10-core-security/322-20101001-core-xss-vulnerabilities.html

Al seguente link è disponibile inoltre un video dimostrativo della vulnerabilità:
http://yehg.net/lab/pr0js/training/view/misc/joomla-1.5.20_encoded-xss/


Ciao
Webmaster di Storia dell'Arte.eu

[spaino]

anche l'hosting mi ha segnalato che hanno trovato degli script malevoli, il problema è che risultano attaccati ben 5 siti su 8 di mia proprietà
cosa devo fare adesso? giuro che non so come muovermi

[tomtomeight]

5 su 8! allora per prima cosa fai una bonifica al tuo PC altrimenti ogni altra operazione potrà risultare inutile

[spaino]

Ciao,
ritengo anch'io che sia un hacker che ti abbia modificato il file index.php.

Prova a guardare alle linea 38, dove viene segnato un errore di sintassi.
Ho notato che puoi entrare nell'amministrazione, quindi probabilmente il tuo Joomla è stato corrotto da hacker.

Pochi giorni fa arub spa (che mi fa da hosting) mi ha inviato questa mail:

Gentile Cliente,

Con la presente arub desidera comunicare a tutti i clienti che utilizzano l’applicativo Joomla! per la creazione/gestione dei propri siti, che è stata individuata una vulnerabilità nelle versioni precedenti e/o uguali alla 1.5.20.

Tale vulnerabilità (chiamata in gergo XSS - cross site scripting) consentirebbe di accedere con poteri di amministratore alle pagine del sito web e modificarne il contenuto e qualora l’accesso fosse effettuato da malintenzionati, potrebbero addirittura essere causati danni al sito e ai visitatori dello stesso.

Il team di Joomla! ha prontamente provveduto a rilasciare la nuova security release 1.5.21 del software, reperibile alla pagina:
http://www.joomla.org/announcements/release-news/5300-joomla-1521-released.html

Per maggiori informazioni e dettagli tecnici:
• http://developer.joomla.org/security/news/9-security/10-core-security/322-20101001-core-xss-vulnerabilities.html

Al seguente link è disponibile inoltre un video dimostrativo della vulnerabilità:
http://yehg.net/lab/pr0js/training/view/misc/joomla-1.5.20_encoded-xss/


Ciao
Webmaster di Storia dell'Arte.eu

sì, infatti ho aggiornato le versioni proprio ieri

[wstoriadellarte]

Scusami spaino, ma nel tuo servizio hosting è anche incluso un servizio antivirus o anti spam?

[spaino]

Scusami spaino, ma nel tuo servizio hosting è anche incluso un servizio antivirus o anti spam?

per mia scelta no

[wstoriadellarte]

Se sicuro allora di aver aggiornato la versione giusta di joomla?

[spaino]

Se sicuro allora di aver aggiornato la versione giusta di joomla?

ho seguito proprio le indicazioni della mail del mio hosting

[spaino]

la domanda che mi faccio è: quali sono gli script malevoli? e come faccio ad individuarli?

[wstoriadellarte]

A mio avviso, il problema deriva dall'aggiornamento di joomla che hai fatto.
Se hai un backup del server e del mysql, prova a eseguirlo.

Prova anche a leggere questo link
http://forum.joomla.it/index.php?topic=107267.0

[tomtomeight]

@wstoriadellarte
Non capisco le tue conclusioni, in due post hai cambiato idea affermando due cose contrapposte eppoi hai citato un riferimento  ad un post, al supporto della tua tesi che dice il esattamente il contrario di quanto affermi.
se scrivi tanto per scrivere ti prego di astenerti.

[wstoriadellarte]

@tomtomfive,
prego di scusare questo equivoco.
E' vero che ho cambiato idea in due post, proprio perché sto cercando materiale per risolvere il problema.
Nell'informatica siamo vincolati da una sola cosa: la logica e procedere in modo induttivo.
Pertanto, possiamo facilmente cambiare parere e talvolta ci troviamo anche a contraddirci.
Inoltre, non credo sia molto educato il suo modo di rispondere ad un utente.
Provvederò ad un esposto al team di joomla.it

[tomtomeight]

Forse sarà il tuo modo di esprimerti ma non cambia la mia opinione che prima dici una cosa e poi il contrario anche in questa tua risposta, prima ti scusi e poi mi dai del maleducato. fai pure il tuo esposto.
Volevo solo farti capire che fare certe affermazioni come dare la colpa dell'aggiornamento ad un problema che è evidente trattasi di un attacco hacker è solo allarmismo.

[spaino]

dai ragazzi, non arrabbiatevi per ste cavolate
piuttosto pensate ad aiutarmi 

[wstoriadellarte]

Spaino ha ragione.
Ribadisco che sostenere un'ipotesi non è mai stato allarmismo.
Le ho già detto nel precedente post che sto sostenendo un'ipotesi e non una tesi, quindi è mia legittima scelta di esporre una certa posizione.

[sudoku]

Alla fine della fiera: cosa cavolo ci sta alla riga 89 del file index.php? hai apportato qualche modifica al index.php? dato che l'errore sembra essere un "<" che non di dovrebbe essere. Posto questo 5 siti su 8 mi dicono che forse hai usati in questi siti script o addons joomla non sicure. Hai controllato?

[ramses_2th]

Visto che l'inedex è andato ( nel senso che non ti compare a basta) se accedi ad administrator, l'antivirus continua a dare l'allarme malware. Quindi Scarica in locale il tutto. e comincia a controllare gli index (sia di administrator che front end) Magari confrontali con un eventuale backup o con dei file puliti.

[spaino]

Alla fine della fiera: cosa cavolo ci sta alla riga 89 del file index.php? hai apportato qualche modifica al index.php? dato che l'errore sembra essere un "<" che non di dovrebbe essere. Posto questo 5 siti su 8 mi dicono che forse hai usati in questi siti script o addons joomla non sicure. Hai controllato?

un casinò online inglese aveva inserito una stringa nel mio index.php