Autore Topic: ulteriori minacce che fare?  (Letto 5503 volte)

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
ulteriori minacce che fare?
« il: 28 Ott 2010, 15:57:17 »
sto seguendo la guida riportata
qui, per ora ho retrocesso a registrated l'utente con id 62, impostato un ulteriore password alla cartella administrator, ora volevo affrontare il problema dei permessi ma mi sono bloccata alla frase:
Citazione
Prima di tutto, assicurati che ogni file del  tuo sito sia stato caricato tramite FTP, rendendo il tuo account utente effettivamente il proprietario del file
.
Sarà banale, ma non so come assicurarmi di essere la proprietaria dei file..prima di impostare i permessi corretti. In effetti selezionando le cartelle da filezilla, queste non hanno il permesso che la guida consiglia di usare (0755), idem per i file...
ora però ho un ulteriore problema...credo di non facile risoluzione  :'(
prima di fare prove nell'impostazione dei permessi, ho pensato di fare un ulteriore backup di tutti i file e cartelle presenti nel mio sito. Ho aperto filezilla e copiato tutto nel pc, ma il mio antivirus rileva una minaccia in quasi tutti i file della cartella administrator. Ho pensato che mi avessero hackerato e quindi ho proceduto a ripristinare il vecchio backup che avevo fatto subito dopo il nuovo aggiornamento, ma appena l'ho ripristinato non è più possibile accedente a miosito/administrator per via di una minaccia di troyan...
morale della favola: ho provato a far controllare tutti i backup al mio antivirus ed in tutti rileva la stessa minaccia....
come posso uscire da questa situazione?

ps: questa discussione segue quella presente in http://forum.joomla.it/index.php/topic,116867.0.html
« Ultima modifica: 28 Ott 2010, 16:00:46 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

mau_develop

  • Visitatore
Re:ulteriori minacce che fare?
« Risposta #1 il: 28 Ott 2010, 16:44:19 »
riguardo i permessi, il proprietario etc ... non puoi fare nulla:

1) o non sei su server linux
2) o non è un servizio ottimizzato per joomla visto che in quella situazione non dovresti nemmeno riuscire ad installare componenti.

problema 2
----------------
Il malware sei tu che lo crei con un virus sul tuo pc, se prima non togli quello non risolvi nulla.
Una volta tolto non aprire più nessun backup altrimenti te lo ripigli

Il mio consiglio è sempre quello di ripartire da una vers nuova, quindi da 0, TUTTI gli altri modi riescono in proporzione all'esperienza che si ha con il codice.

M.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #2 il: 28 Ott 2010, 16:52:49 »
Citazione
1) o non sei su server linux
2) o non è un servizio ottimizzato per joomla visto che in quella situazione non dovresti nemmeno riuscire ad installare componenti.
ahhhh ignoravo la cosa, ho registrato il dominio su quel server perchè così mi è stato consigliato da un amico che era più pratico di me con joomla...
Citazione
Il malware sei tu che lo crei con un virus sul tuo pc, se prima non togli quello non risolvi nulla.
Una volta tolto non aprire più nessun backup altrimenti te lo ripigli

Il mio consiglio è sempre quello di ripartire da una vers nuova, quindi da 0, TUTTI gli altri modi riescono in proporzione all'esperienza che si ha con il codice.

sto lanciando le scansioni con l'antivirus, per ora sono stati trovati troyan solo nei backup del sito. Per ripartire da zero intendi cancellare tutto quello che c'è caricato nel sito e riniziare da capo rinstallando joomla?
ma se l'antivirus mi cancella i file infetti (presenti quasi tutti nella cartella administrator dei backup), in questo modo comprommetto i backup e non li posso riutilizzare dopo aver effettuato la nuova instllazione di joomla?
e quindi....devo ricreare da zero il mio sito? mmm la situazione si mostra molto più complicata di quanto immaginassi... :'(
pensi ci sia bisogno anche di formattare il pc?
caspita! non c'è alcun modo di risolvere diversamente (domanda stupida visto che forse mi hai già risp, ma ci riprovo sigh...)? in effetti non ho un eccessiva esperienza con il codice ed ho iniziato anche da poco a creare siti usando joomla, saltando del tutto le guide sulla sicurezza perchè non le avevo viste ...

ps: dimenticavo...ti ringrazio sind'ora per gli aiuti
« Ultima modifica: 28 Ott 2010, 17:08:39 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #3 il: 28 Ott 2010, 19:17:36 »
ho appena effettuato un controllo nel pannello del mio hosting risulta:
"servizio: hosting Linux - hosting condiviso professionale"

ho appena terminato la scansione con l'antivirus ed ha rilevato 300 minacce, nelle due cartelle administrator
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

mau_develop

  • Visitatore
Re:ulteriori minacce che fare?
« Risposta #4 il: 28 Ott 2010, 19:51:29 »
per joomla i permessi ottimali sono 755, in questa condizione se tu riesci ad installare componenti, significa che tu sei owner (7), se tu fossi group avresti bisogno di 775, se tu fossi user 777. nell'ordine owner-group-user 7 può far tutto 5 solo accedere in lettura. Vabbè... ora il tuo problema è un'altro, la tua "infezione" non dipende da questo, solo da un virus preso, se tu avevi wordpress non penso che avresti avuto sorte diversa.

Io se fossi al tuo posto cancellerei completamente tutto e ripartirei da 0.

Se non mi addormento e riesco ad andare un po avanti ti passo una guida su come affrontare il ripristino di joomla... ma non te lo garantisco, ho guidato 6 ore (roma-mi) e ho gli occhi crepati :)

M.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #5 il: 28 Ott 2010, 22:20:06 »
ho contattato netson per il virus e mi hanno detto che il problema risiede nel file .htaccess
mentre le minacce rilevate dall'antivirus che risiedono tutte nelle cartelle administrator, si chiamano: JS:illredir-dj
Citazione
Se non mi addormento e riesco ad andare un po avanti ti passo una guida su come affrontare il ripristino di joomla... ma non te lo garantisco, ho guidato 6 ore (roma-mi) e ho gli occhi crepati
;D dai riposati e se hai tempo me la passi domani con tutta calma..tanto io sono in Sardegna e da qui non posso andar tanto lontano... ;)
buon riposo
« Ultima modifica: 28 Ott 2010, 22:27:44 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

mau_develop

  • Visitatore
Re:ulteriori minacce che fare?
« Risposta #6 il: 29 Ott 2010, 14:51:39 »
Come promesso.. eccola
http://forum.joomla.it/index.php/topic,117151.0.html

...amo la sardegna e alghero :)

M.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #7 il: 01 Nov 2010, 23:58:06 »
dopo aver aggiornato l'antivirus ed installato uno nuovo, ho lasciato 3 giorni (interi) il pc in modalità provvisoria a fare scansioni...finalmente oggi le ho concluse, ma al riavvio avast si è riaggiornato ed ha trovato un altro malware >:(
stanotte ri-mando le scansioni..."riusciranno i nostri eroi a mettere in atto il resto della guida???"hihhiihi

Citazione
...amo la sardegna e alghero
anche il sud - Sardegna non è niente male ;) anche se detto da me, che son "di parte" non vale hihihihihi
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

Offline bigham

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3662
  • Sesso: Maschio
  • Contagiato dalla Joomlaite :)
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #8 il: 02 Nov 2010, 00:41:48 »
Ciao.

A proposito di scansioni antivirus posso dare un suggerimento?

Piuttosto che installare antivirus e visto che non esiste l'antovirus perfetto trovo più utile utilizzare un Rescue CD, ovvero un antivirus che venga eseguito da un cd di avvio (in genere è una distro linux). Avviando il pc con uno di questi cd si può effettuare la scansione senza che niente di windows sia in esecuzione.

Ne cito due che ho provato:
- Bitdefender Rescue CD
- Kaspersky Rescue Disk

ma in rete ce ne sono tanti.

Basta scaricare la iso del cd, masterizzarla e avviare il pc in modo che carichi il sistema operativo da cd (può essere necessaria una modifica al bios della macchina)
In questo modo si può effettuare una scansione della macchina usando 3/4/n antivirus diversi.


Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #9 il: 03 Nov 2010, 12:09:54 »
Citazione
A proposito di scansioni antivirus posso dare un suggerimento?
come dico sempre...ogni suggerimento è utile, anche perchè porta sempre ad imparare cose nuove. ;)

tempo addietro avevo già sperimentato su un altro pc una tecnica simile, facendo il caricamento del sistema da cd, ma non per fare una scansione, se non ricordo male l'avevo usata per una formattazione di alto livello....
ma in questo pc ho il lettore cd guasto...si riesce a farlo anche da masterizzatore/lettore cd esterno? ho un vago ricordo che si potesse scegliere dal bios con quale hardisk effettuare il caricamento...
« Ultima modifica: 03 Nov 2010, 12:24:10 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

Offline bigham

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3662
  • Sesso: Maschio
  • Contagiato dalla Joomlaite :)
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #10 il: 03 Nov 2010, 13:46:56 »
Se da bios è possibile avviare il pc da una periferica usb credo si possa fare.
Però un lettore cd costa si è no 15euro ;) ;D ;D
Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #11 il: 03 Nov 2010, 15:03:18 »
In questo caso un cagliaritano mi avrebbe risposto: Sesi propriu una tanalla. Che significa: sei proprio una tirchiaccia...
ahahhahaha ...

comunque, avendo già il lettore esterno potrei anticipare "le mosse"
« Ultima modifica: 03 Nov 2010, 15:49:20 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #12 il: 30 Nov 2010, 19:22:53 »
eccomi di nuovo, gli impegni non mi hanno permesso di lavorare al mio sito sino a ieri..
dopo aver cambiato pc in attesa di sistemare il vecchio, ho proceduto al reset del sito e alla procedura consigliata in precedenza http://forum.joomla.it/index.php/topic,117151.0.html
oltre a quanto scritto nel topic ho poi:
-cambiato tutti le password comprese quelle della mia area clienti.
-rinstallato tutto da zero cancellando il vecchio database e creandone uno nuovo
-reso il file configuration.php di sola lettura
-verificato che i permessi fossero in effetti 755 per le directory e 644 per i dati
-inserito password dal mio cpanel a cartella admin
-in sede di installazione: cambiato id superadmin e suffisso tabelle;
-cambiato il nome utente admin di default con uno a piacere....ed ovviamente cancellato la cartella "installation" al termine dell'installazione.

Però non mi è ancora chiaro il seguente passo della discussione  http://forum.joomla.it/index.php/topic,117151.0.html
Citazione
Se la vostra stringa password è "paperino" criptatela prima voi con l'md5 (meglio tool locali), anche se il database venisse violato sarebbe molto difficile riuscire a decriptare la password, oserei dire impossibile per la quasi totalità delle persone.
cosa significa criptare con md5? come si può mettere in atto?
Che dite? mi sono scordata qualche altro passo ?
« Ultima modifica: 30 Nov 2010, 19:28:15 da ErikaB »
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

mau_develop

  • Visitatore
Re:ulteriori minacce che fare?
« Risposta #13 il: 30 Nov 2010, 21:17:22 »
md5 te lo lascio spiegare da wikipedia :) ... è interessante, è alla base della nostra sicurezza, insieme a sha.

Carte di credito, password, qualsiasi cosa richieda criptazione ai massimi livelli di sicurezza richiede uno di qs sistemi.

L'algoritmo dell'md5 è stato crackato eppure è ancora condiderato sicuro ... interessante no? :)

se vuoi criptare una cosa in md5 basta una semplice funzione di php:

md5();

puoi usarla così:

<?php
$to_cript = 'paperino';

$cripted = md5($to_cript);

print($cripted);

?>

a video comparirà la tua stringa criptata da inserire come password per joomla, la quale passerà una seconda criptazione in md5, ... praticamente potrei darti l'hash ma tu non riuscirai mai a decriptarlo e capire che io ho usato la parola paperino.

L'md5 restituisce sempre lo stesso risultato se l'imput è lo stesso, anzi identico.

se io ho un "formino" in locale dove tutte le volte io inserisco "paperino" e lui mi ritorna l'md5 non ho problemi a loggarmi con joomla e posso scegliere password molto semplici da ricordare... ovviamente non troppo semplici, poichè l'md5 dell'md5 di pippo è capace anche il mio nipotino a trovarlo :)

M.

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
Re:ulteriori minacce che fare?
« Risposta #14 il: 01 Dic 2010, 00:13:42 »
eh eh appena ho letto la guida da te redatta, avevo letto qualcosa su Wikipedia in proposito, ma a dir la verità non avevo capito tantissimo, probabilmente lo lessi in ora troppo tarda, per decifrare bene le parole ...e dopo migliaia di altre letture su cose a me ignote, ormai tutto sembrava un algoritmo  :D ;D

Citazione
è stato crackato eppure è ancora condiderato sicuro
hahahah mi sembra un controsenso e non capisco come ciò possa accadere, ma da quello che mi hai detto vale la pena approfondire...molto, molto, interessante!!
prima di fare ulteriori domande idiote (del tipo dove metto la funzione, ecc ecc ecc) :) cerco di rileggere qualcosa in merito, così magari propongo altri spunti di discussione sensati, sempre che non vadano offtopic. Grazie per gli spunti
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

 

Host

Torna su