Aiuto Urgente per consiglio su come agire

[pbjolly]

Salve !
avevo un sito joomla versione 1.5.14 da circa quattro anni in  hosting ed è stato attaccato sfruttando il componente componente com_jce non aggiornati presente all'interno dello spazio web;
[/size]Ho provato a rimettere la copia di circa una settimana fa ma non ha funzionato e mi chiedo il perché;
[/size]Chiedo un consiglio da esperto per rimettere tutto a posto e spiegarmi in dettaglio cosa posso fare con minor dolore;
[/size]Mi costerebbe molto rifare tutto il sito con una nuova versione e cambia tutto.
[/size]Cosa mi suggerite di fare ?

[/size]Grazie

[giusebos]

Ho provato a rimettere la copia di circa una settimana fa ma non ha funzionato e mi chiedo il perchéti consiglierei di passare alla 2.5

la copia di cosa? è un backup? ed il database lo hai ripristinato?

Ho rimesso a posto molti siti e non sempre la strada da percorrere è sempre la stessa, bisogna capire se sono compromessi i file o i contenuti sul database, e tu ci racconti che l'hosting è stato attaccato  , quindi non avendo altri elementi in linea di massima ti dico cosa farei:

• installazione in locale di un sito VUOTO con le stesse estensioni che ci sono ONLINE
• importazione del vecchio database in locale con myphpadmin
• cambio delle credenziali del database nel file configuration.php (in pratica scolleghi joomla dal database appena creato ma vuoto e lo ricolleghi al vecchio database con tutti gli articoli.

Il forum è pieno di persone che hanno avuto un problema simile al tuo, leggi qualche discussione nella sezione sicurezza e vedi se c'è qualche caso simile al tuo, questo naturalmente per capire cosa sta succedendo al tuo sito.

[pbjolly]

La copi di una settimana fa  mi riferisco a quella di ****, ma credo che non sia diversa dalla copia compromessa; per il database non so se  stato compromesso anch'esso e comunque l'errore me lo da sull'index del template; ora provo a rimettere la copia di una settimana fa e rimettere tutti i dati e cartelle del template dall'originale (prima installazione) e vedo cosa succede (da allora il template non ha subito cambiamenti.
Che mi dici ?
Altrimenti se voglio aggiornare come faccio ?
E se volessi mettere la copia originale di circa due anni fa senza il database per poi caricarmi il mio attuale ?
Farei casino ?


Volendo passare dalla versione 1.5.14 alla 3.1 come potrei fare ? (anche se  vorrei prima provare a sistemare questa versione)

edit rimosso riferimento commerciale

Grazie

[mmleoni]

ciao pbjolly,
se hanno bucato una estensione non è che cambiare versione di joomla aiuti 
vi è da dire che le versioni di joomla precedenti alla 1.5.15 erano attaccabili (poteva essere crackata la pw di admin) in caso di estensioni non protette da sql injection, pertanto, una volta ripristinato il buck up installa immediatamente l'aggiornamento alla ultima 1.5.x.

consiglio questa estensione:
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731
non solo perché la ho scritta io, ma perché protegge da ciò che è successo a te.

ora bisogna vedere che cosa non va nel back up ripristinato: hai ripristinato sia il filesystem che il db? sicuro di averlo fatto correttamente?

qual'è l'errore?

ripristinato il filesystem nel db è difficile che ci sia qualcosa al di fuori di un xss.

comunque, come ti è stato detto, ci sono molti post sull'argomento, quindi buona lettura!

ciao,
marco

[pbjolly]

Ho sistemato il sito ma ora per porre rimedio alla fala di com_jce ?
Ho trovato un'articolo :
http://forum.joomla.org/viewtopic.php?f=432&t=740054&start=30


e ho sostituito tutto questo codice postato nel link sotto con quello di jce.php.


Mi basterà ?


Grazie

[mmleoni]

sicuro che l'ultima versione di com_jce (luglio 2013) sia ancora vulnerabile?

comunque il post cui ti riferisci è anteriore alla ultima versione di jce, io non ci farei troppo affidamento.
[edited: avevo letto male le date]

per il resto: vedi sopra.

ciao,
marco

[mmleoni]

mi sono dimenticato una domanda: sei sicuro che siano entrati grazie a com_jce? era sul front end ed era accessibile a tutti gli utenti registrati?