Autore Topic: Strano ed improvviso comportamento sito, possibile attacco?  (Letto 1891 volte)

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Ho notato per pureo caso problemi col mio sito che trovate al link
www.barattomatto.it

Front end che non visualizza l'immagine principale e back end con testi molto più grandi del normale.

Prima di chiamare l'hosting per sapere se hanno toccato quialcosa, mi chiedevo se qualcuno di voi sa di attacchi di questo tipo..

Grazie a tutti


[allegato eliminato automaticamente dopo un anno]

mau_develop

  • Visitatore
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #1 il: 02 Giu 2013, 22:46:59 »
che tipo? che joomla? ...se poi metti i link e smanacci difficilmente chi guarda capisce qualcosa...

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #2 il: 02 Giu 2013, 22:52:18 »
Sorry, versione di joomla 1.5.26, a smanacciare ancora non ho iniziato, ma mettendo l'allegato pensavo si capisse il problema, in ogni caso stasera e domani non mi ci metto.

il link è www.barattomatto.it e mi sono accorto ora che si è pure bloccato del tutto senza che lo toccassi...
sigh.

Nuovo aggiornamento si è ripreso...
« Ultima modifica: 02 Giu 2013, 22:56:34 da lucantropo »

mau_develop

  • Visitatore
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #3 il: 02 Giu 2013, 22:56:04 »
..quindi magari semplicemente domani riappare tutto... oppure no :)
preparati col backup

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #4 il: 02 Giu 2013, 22:58:20 »
JS/kriptic.ALA.trojan
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #5 il: 02 Giu 2013, 22:58:31 »
Il back up lìho appena scaricato, ne aveva fatto uno stanotte e l'ho scaricato ora,
domanda da un milione di dollari...
Meglio pulire tutto tutto prima del ripristino con kickstart?
é la mia prima volta che si incricca un sito in tre anni di joomla....

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #6 il: 02 Giu 2013, 22:59:44 »
JS/kriptic.ALA.trojan

azzo posso eliminarlo manualmente? posto che io capisca dove si trova in tutte quelle cartelle....

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #7 il: 02 Giu 2013, 23:04:06 »
Ce l'hai in varie parti.
Segui alla lettera il post in evidenza in questa sezione.

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #8 il: 02 Giu 2013, 23:08:38 »
Grazie della risposta, il problema da quanto sto notando è più ampio, ho lo stesso problema su diversi siti ospitati sullo stesso server condiviso, con diverse versioni di joomla.
Secondo te a prescindere da cosa poi faccio io posso fare intervenire il mio servizio hosting?

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #9 il: 02 Giu 2013, 23:10:51 »
Non credo che i servizi di hosting si occupino di quelle cose.
Al massimo ti chiudono i siti, quindi meglio che ti armi di pazienza e metti a posto.

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

mau_develop

  • Visitatore

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #11 il: 03 Giu 2013, 11:49:49 »
Chiedo scusa se faccio una domanda stupida, sto seguendo le linee guida, è normale che pulendo il server rimanga la cartella mambot e che non si riesca ne a cancellare ne a visionare il contenuto?

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #12 il: 03 Giu 2013, 12:54:54 »
Ciao,
un joomla 1.5.26 non ha cartelle con quel nome.
Magari è qualcosa che hai installato?
Magari non riesci a vedere perchè non hai i permessi?
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #13 il: 03 Giu 2013, 13:59:34 »
Mah, mai vista prima neanche io....
in ogni caso ora sembra che il mio host, abbia cancellato a monte dato che ho aperto un tiket.
Spero solo che siano loro e che il trojan non abbia svolto il suo compito e sia "sparito"

Vi aggiornerò

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #14 il: 03 Giu 2013, 14:36:40 »
Mah, mai vista prima neanche io....
in ogni caso ora sembra che il mio host, abbia cancellato a monte dato che ho aperto un tiket.
Spero solo che siano loro e che il trojan non abbia svolto il suo compito e sia "sparito"

Vi aggiornerò

Cosa stranissima, su quattro siti, uno l'ho appena riprisitinato e sembra funzionare.
Gli altri tre per mezz'ora senza che li toccassi sembravano funzionare, poi di colpo due son tornati fallati....
a sto punto chi ci capisce è bravo....

Offline lucantropo

  • Appassionato
  • ***
  • Post: 688
  • Sesso: Maschio
    • Mostra profilo
Re:Strano ed improvviso comportamento sito, possibile attacco?
« Risposta #15 il: 04 Giu 2013, 10:11:39 »
Aggiornamento della situazione:
Su due siti ho effettuato la seguente procedura:
Scricato il back up, passato con antivirus: trovati dei file sospetti, controllati con le versioni di joomla che avevo sul pc e non esistevano quindi rimossi.
Pulito tutto il server, ricaricato il back up pulito.
Ha funzionato per circa 12 ore e poi si sono criccati.
I siti in questione sono
www.michelegavazza.co.uk
con joomla 2.5.7
( si lo so avrei dovuto aggiornare il core ma il mio hosting non riesce a farlo in maniera automatica e quindi devo farlo via ftp, ieri ho scaricato i back up di tutti i siti, quelli settimanali e l'ftp era occupato, volevo farlo oggi e si è ripresentato il problema  prima che io potessi farlo.)
dopo aver ripristinato ho aggiornato joom gallery e jce alle ultime versioni disponibili.

altro sito
www.sarahrinaldo.com
joomla 1.5.26

Tutti e due i siti hanno come componente joom gallery e scartabellando nelle cartelle che ho in locale ho notato delle differenze con quelli sul server ma essendo la prima volta che li controllo non vorrei che non li conoscessi io. Per esempio nella cartella controllers in locale ho un file votes.php e sul serer ho un file in più chiamato votes.json.php.

La cosa ancora più strana che , al momento su altri due siti dove avevo problemi il tutto si è rimesso a posto da solo prima che lo toccassi. Avrei comunque pulito il server in giornata ma sembra che il trojan si sia sopito al momento.

Al momento non so che pesci prendere.

 

Host

Torna su