Autore Topic: Mi hanno forato il sito, ANCORA!!!! (Letto 37557 volte)

zalexo · « **Risposta #60 il:** 13 Set 2007, 14:33:52 »

Il mio pc è pulito.

grazie cmq

cos · « **Risposta #61 il:** 13 Set 2007, 14:38:28 »

in ogni caso appena entri tuo sito compare

p.s. il sito sullo spazio web alternativo ha probelemi??

dampyrD · « **Risposta #62 il:** 13 Set 2007, 14:45:11 »

Citazione da: zalexo - 13 Set 2007, 13:47:11

Ragazzi sto impazzendo, ora ho i file di log.

Qualcuno, anche a pagamento, mi ci può guardare? Io no ne capisco tanto e non saprei dove trovare il problema.

Cmq ringrazio tutti

hai i pm pieni, a me interesserebbe vedere i file di log e capire la falla, non so se ne sono in grado....fammi sapere

zalexo · « **Risposta #63 il:** 13 Set 2007, 15:05:00 »

Allora, adesso ho liberato i PM.

Allora visto che nessuno mi poteva darmi una mano mi sono rivolto a un host professionale e gli ho dato tutto in mano, log backup db e altro.

Non posso perdere altro tempo, sono fuso, stanco e stressato.

Non avevo su nessun componente a riskio:
http://assistenza.joomlahost.it/index.php?x=&mod_id=2&id=11

anche se qui sh non c'è....

Non so che dirvi ragazzi.

Cmq appena l'host mi dice qualcosa vi faccio sapere.

Ciao

dampyrD · « **Risposta #64 il:** 13 Set 2007, 16:09:33 »

se hanno ribucato vuol dire che c'è qualcosa lato server o hanno trovato bachi ancora sconosciuti $:-\$

dlando · « **Risposta #65 il:** 13 Set 2007, 16:37:02 »

Citazione da: dampyrD - 13 Set 2007, 16:09:33

se hanno ribucato vuol dire che c'è qualcosa lato server o hanno trovato bachi ancora sconosciuti $:-\$

se avessero trovato bachi ancora sconosciuti dipendenti da qualcosa presente in un installazione con moduli generici .. secondo me.. non saremmo qui a parlare del problema di zalexo ma saremmo qui a bestemmiare in turco aramaico sul come mai tutti i nostri siti siano gambe all'aria.

Citazione da: zalexo - 13 Set 2007, 15:05:00

Allora visto che nessuno mi poteva darmi una mano mi sono rivolto a un host professionale e gli ho dato tutto in mano, log backup db e altro.

Non posso perdere altro tempo, sono fuso, stanco e stressato.

Non avevo su nessun componente a riskio:
http://assistenza.joomlahost.it/index.php?x=&mod_id=2&id=11

che cavolo .. nemmeno il tempo di vedere il messaggio nel source html ^^
vabbe' va.

Cmq, cosi' giusto come nota di colore, hai solo levato l'index.php ma il lato amministrazione puo' ancora essere usato... o per lo meno risponde.
Magari frega nulla perche' tutto quello che e' li' ora verra' riscritto .. ma magari no e allora meglio avvisare ^^

zalexo · « **Risposta #66 il:** 13 Set 2007, 16:43:13 »

Una volta che entrano mi inibiscono totalmente l'accesso al sito. E mi ritrovo nella cacca.

Stiamo leggendo il log e gli attacchi sono tanti, non solo 1, da tante persone diverse sembrerebbe.

Non si capisce bene perchè il modrewrite complica la lettura.

Fra le altre cose l'iframe che vedevate prima è stato inserito in un momento che solo googlebot era sul sito.

Insomma un disastro, per fortuna ora queste persone mi stanno aiutando. Cmq la loro upinione e che abbiano attaccato il sito alla cieca sparando a caso e seguendo un turorial su come attaccare joomla che mi dicono sia pubblicato in rete da qualche parte.

Non so ragazzi, se mi entravano i ladri in casa era meglio....

dampyrD · « **Risposta #67 il:** 13 Set 2007, 17:28:22 »

uhmmm molto male che vi siano già guide pronte per i lammer del mondo che non hanno altro da fare....

per dlando io intendevo bachi non conosciuti delle varie estensioni e moduli esterni.

dlando · « **Risposta #68 il:** 13 Set 2007, 17:43:11 »

eh , avevo capito che la seconda volta l'installazione fosse senza moduli di terze parti.

zalexo · « **Risposta #69 il:** 13 Set 2007, 17:52:34 »

c'era su solo la 1.0.13 e:
-sef advance
-fireboard
-tags
-fabrik

e basta, tutte componenti sicure.

Adesso cmq mi stanno controllando il log e mi dicono se entra di nuovo da dove passa.

ciao

zalexo · « **Risposta #70 il:** 13 Set 2007, 17:55:54 »

forato di nuovo, andiamo per esclusione.

Sembra che non hanno accesso via ftp, le pass sono tutte diverse.

Ora tramite qualche file .php

dampyrD · « **Risposta #71 il:** 13 Set 2007, 17:58:25 »

ammazza più buchi che in un groviera

dlando · « **Risposta #72 il:** 13 Set 2007, 18:12:05 »

cioe' .. scusami .. ma hai un'installazione nuova su un server diverso con password diverse sia per le connessioni FTP che per il DB e entrano lo stesso ?

zalexo · « **Risposta #73 il:** 13 Set 2007, 18:41:16 »

Citazione da: dlando - 13 Set 2007, 18:12:05

cioe' .. scusami .. ma hai un'installazione nuova su un server diverso con password diverse sia per le connessioni FTP che per il DB e entrano lo stesso ?

No no sono sempre su jhost, ho solo cambiato di nuovo le pass al plesk e al ftp.

Il resto è rimasto invariato.

Il sito ha una falla daqualche parte, ora non centra sh404sef. C'è qualcosa che lo fa entrare e non sappiamo cosa sia, l'unica cosa che possiamo fare è dargli il sito in pasto, vedere da dove passa e studiare una soluzione.

cos · « **Risposta #74 il:** 13 Set 2007, 18:43:01 »

ma non stavi provando anche su un altro server ??

per vedere e provare !!!

agosto · « **Risposta #75 il:** 13 Set 2007, 18:47:22 »

ciau digitando
http://www.zalexo.it/contatto-consulenza.html (non fatelo)

il mio antivirus mi da questo
detected: Trojan program Trojan-Downloader.VBS.Psyme.iq URL: http://usuarios.arnet.com.ar/alvarezluque/morgan.html

quindi devi avere o il tuo pc..o il server impestato da quesyo rootkit

per eliminarlo bisogna usare diversi tools ( 2 palleee)

dai un okkio qui:
http://www.p2pforum.it/forum/showthread.php?t=115737

bohh kissa magari dipende da questo
saluti

cos · « **Risposta #76 il:** 13 Set 2007, 18:51:39 »

Citazione da: agosto - 13 Set 2007, 18:47:22

ciau digitando
http://www.zalexo.it/contatto-consulenza.html (non fatelo)

il mio antivirus mi da questo
detected: Trojan program Trojan-Downloader.VBS.Psyme.iq URL: http://usuarios.arnet.com.ar/alvarezluque/morgan.html

quindi devi avere o il tuo pc..o il server impestato da quesyo rootkit

per eliminarlo bisogna usare diversi tools ( 2 palleee)

dai un okkio qui:
http://www.p2pforum.it/forum/showthread.php?t=115737

bohh kissa magari dipende da questo
saluti

il mio antivir lo ha bloccato subito senza bisogno di rimozione

zalexo · « **Risposta #77 il:** 13 Set 2007, 19:31:39 »

Citazione da: cos - 13 Set 2007, 18:43:01

ma non stavi provando anche su un altro server ??

per vedere e provare !!!

Si si certo, ovviamente sull'altro server funziona che è una meraviglia.

Il mio pc è pulito e protetto da Avira (antivir) come il tuo, ma versione premium completa, costata se ricordo bene 50 e passa €.

Quindi sono tranquillo.

Ci deve essere qualche script, ma gari in qualche mambot, non abbiamo ancora capito.

Cmq per ora stiamo lavorando e vediamo

jk4nik · « **Risposta #78 il:** 14 Set 2007, 10:42:10 »

comunque tornerebbe utile leggere anche questo
http://mamboguru.com/index.php?option=com_content&task=view&id=20&Itemid=33

ciao
jk

zalexo · « **Risposta #79 il:** 14 Set 2007, 11:31:17 »

Citazione da: jk4nik - 14 Set 2007, 10:42:10

comunque tornerebbe utile leggere anche questo
http://mamboguru.com/index.php?option=com_content&task=view&id=20&Itemid=33

ciao
jk

Grazie, attualmente il sito è sicuro, ma è attaccato in automatico ogni ora.....

Vediamo.

Devo ringraziare tutti per l'aiuto e in particolare Sara della azienda che mi sta monitorando il sito, grazie a lei ora il sito è sicuro.

Io da lunedì sono fuori per 14 giorni e loro si sono offerti di tenermi d'occhio il sito.

cmq ripeto il ringraziamento a tutta la comunità.

ciao