File sospetti dopo attacco hacker

[acquino]

Salve ragazzi,
 un mese fa ho avuto il piacere di trovarmi tutta la root www cancellata , con inserito un altro sito (non mio)!
Ho eseguito il upload  dell'intero sito e ho cominciato a controllare cartella per cartella tutti i permessi , e i file più strani.
Nella directory /administrator/templates/khepri/images/menu mi trovo un file  Predator.php.
E ' un file originale di joomla ? oppure no,esiste un qualche metodo per controllare l'intero sito  ??
Ringrazio per il vostro aiuto
Io ho la versione joomla 1.5.23 con un template ja-purity.

[maicolstaip]

Ciao acquino,
guarda, con un nome così fai che cancellarlo.
Sposto nella sezione sicurezza dove se leggi i post stickati ti toglierai molti dubbi.
Ciao!

[acquino]

Ti ringrazio per la tua risposta , anche a me ha dato molto sospetto.
Voleva appunto la conferma che non esiste un file del genere all'interno di quella root.
Ringrazio per la tua collaborazione

[maicolstaip]

Per verificare,
scaricati un joomla 1.5.23, lo decomprimi sul tuo PC e controlli uno ad uno i files confrontandoli con quelli sul server.
Un lavoraccio!
Oppure segui i consigli di mau_develop,  nel primo post in alto della sezione.

Ciao!

[mau_develop]

Predator.php === hacker dai 12 ai 14 anni taglia media tanti brufoli fxxa 0 

segui il post in testa alla sezione... quello + blu ... spesso non è sufficiente cancellare un file.

Tutti i tuoi segreti più reconditi ora li conosce anche predator...

ma ha vinto alien o predator? .. nn ricordo

M.

[acquino]

Grazie Mau per il tuo appoggio, ma non ho trovato solo questo file , ma codici con il link alle poste italiane e altre porcherie , persino una immagine di un ragazzino di etnia vietnamita (sara il bastardo);che presa per ilc...o!!.
Ho letto il post che mi ha i consigliato , e lo trovo veramente importante.
Una cosa forse non ho capito , posso tranquillamente fare una scanzione dell'intera www con un antivirus qualunque ?, oppure ne esiste uno in particolare .

[mau_develop]

l'hai buttato quel file?

comunque non sono virus, sono shell ovvero un po' come avere un pannellino di amministrazione di joomla e qualcosina in +
se era una shell viene comunque riconosciuta come tale e segnalata da molti av
.. il problema è se è una banale funzioncina o qualcosa di modificato che consente l'accesso ... dico na scemenza... ma se toglie all'inizio di qualche file il controllo all'accesso diretto joomla funziona benissimo, l'antivirus non segnala nulla perchè non ha messo nulla però può sfruttare quando vuole quel file per fare "qualcosa... capisci?

l'idea migliore è sempre sovrascrivere tutto con un pacchetto vergine e così non perdi nulla (ATTENZIONE non tutto va sovrascritto) e fare una comparazione tra un pacchetto sano e il tuo con qualche tool per vedere se ci sono file in più.

Inoltre non è normale riuscire a uppare una shell come ci è riuscito?

cosa non è aggiornato? ... tutto vero?

M.