Sito RI-Hackerato

[atlpaperino]

E' la seconda volta in 20 gg che mi viene hackerato il sito , e per giunta dalla stessa persona , potete per favore aiutarmi a risolvere il problema ? Sicuramente sarà colpa mia ma non cpisco dove sto sbagliando

Joomla aggiornato alla ver 1.5.7 , cambiato user amministratore e psw

GRazie per l'aiuto

Marco

PS: mi sta un pò passando la voglia di continuare ad imparare joomla ... scusate lo sfogo !

[atlpaperino]

Sto cercando di ripristinare il sito , dopo l'ennesimo attacco ... ( ho pure contattato l'assistenza di helloweb .. l'unica risposta che mi hanno dato è di cambiare la psw del CSM .. lasciamo perdere ) .. non capisco una cosa , siccome ho ancora l'accesso attraverso FTP , e avendo un salvataggio in locale funzionante , ho proceduto nella seguente maniera ... ma non funziona

1) ho cancellato tutti i file  ttaverso l'ftp
2) ho cancellato il dbase attraverso phpmyadmin in remoto
3) ho ricaricato joomla attraverso il fornitore di hosto ( heloweb) alla ver 1.53
4) ho aggiornato joomla attraverso ftp sovrascrivendo i file alla ver 1.57
) ho ricaricaro le mie pagine attraverso ftp
5) ho ricaricato il dbase

nonostante questo ancora mi viene fuori la pagina dell'hacker ( che adesso non vedete perchè ho cancellato index.php)

dove sto sbagliando ?

Grazie per l'interessameto e per le risposte
marco

[atlpaperino]

La situazione è mutata , ma non rieco a risolvere l'ultmimo problema ( forse le troppe prove mi hano annebbiato il cervello) il sito è di nuovo on line ( non so per quanto ) ..ma se cerco di accedere alla pagina administrator ritorna fuori la pagina dell'hacker ... qualcuno mi da la soluzione
Grazie

[maicolstaip]

Hai un link?
Comunque prova a vuotare la cache del tuo browser.

[Scaravetti Gabriele]

se hai abilitato l' ftp su joomla disattivalo
poi cambia tutti i dati relativi all' accesso al pannello di amministrazione di joomla e del dominio e magari anche del database mysql.

ciao

[atlpaperino]

maicolstaip : il link è http://fcplus.helloweb.eu

Scaravetti Gabriele : ftp usto è filezilla, i dati non li posso cambiare , quando metto la parola administrator per accedere al pannello viene fuori la pagina dell'hacker

cmq .. grazie degli interventi

[Scaravetti Gabriele]

non intendo di cambiare i parametri sul programma ma dell' accesso al tuo pannello di dominio ( ci deve essere una procedura per il cambio della password sul sito del tuo maintainer (ditta ke ti fornisce il servizio di hosting)

[atlpaperino]

Scusami se insito , ma forse sono io che non riesco a capire .. il mio problema adesso è che non riesco ad entrare nel pannello di jommla ( tutto il resto accesso via ftp , accesso a phpmyadmin , riesco ) se nella barra degl indirizzi dopo http://fcplus.helloweb.eu  scrivo administrator ( almeno io conosco solo questa strada) mi viene non mi da il pannello joomla ma una pagina dell'hacker

Ciao

[atlpaperino]

ho provato anche a recuperare utente admin seguento la mini guida , ma al primo passaggio viene fuori questo errore

Errore

query SQL:

INSERT
INTO `jos_users`
VALUES ( 62, 'Amministratore', 'admin2', 'tuoindirizzo.email@email.com', 'af68ca4cc7fdb63463f924fcbc2e1ccb:HQizAYOkOcznVvrlNZeKl2zoOPd3CKaA', 'Super Administrator', 0, 1, 25, '2008-09-01 00:00:00', '2008-09-01 00:00:00', , )

Messaggio di MySQL: Documentazione
#1064 - Errore di sintassi nella query SQL vicino a ' )' linea 5
[ Indietro ]

che fare ?

[Scaravetti Gabriele]

la sintassi è errata ma ke interfaccia di admin usi per mysql???
PhpMyAdmin oppure un programma sul tuo pc???

[maicolstaip]

atlpaperino
via ftp cancella il file index.php della cartella administrator e rimpiazzalo con uno originale.
Dovrebbe funzionare.

[animo]

E' la seconda volta in 20 gg che mi viene hackerato il sito , e per giunta dalla stessa persona , potete per favore aiutarmi a risolvere il problema ? Sicuramente sarà colpa mia ma non cpisco dove sto sbagliando

Joomla aggiornato alla ver 1.5.7 , cambiato user amministratore e psw

GRazie per l'aiuto

Marco

PS: mi sta un pò passando la voglia di continuare ad imparare joomla ... scusate lo sfogo !

ultimamente sta succedendo spesso, ma non credevo anche sulla 1.57...
e sempre lo stesso messaggio.. quindi sempre lo stesso gruppo di studenti
cmq la cosa da fare e rimettere il i file della cartella administrator ..
almeno da quello che avevo letto

[exportquality]

Il sito web all'indirizzo fcplus.helloweb.eu contiene elementi provenienti dal sito reddii.org in cui sembra essere presente malware, ovvero software in grado di danneggiare il tuo computer o, comunque, di funzionare senza il tuo consenso. Visitare un sito che contiene malware è sufficiente per infettare il tuo computer

[atlpaperino]

Scaravetti Gabriele : ho aperto phpmyadmin direttamente da helloweb

maicolstaip : ho provato a sostituire il file che dici tu ma nessun risultato , ho trovato tracce dell'hacker nei seguenti file ( che ho sostuito )
INDEX E INDEX2 dela cartella administrator e INDEX E INDEX2 della root principale , all'apertura del sito il risultato è questo errore :
Fatal error: require_once() [function.require]: Failed opening required '/users/f/c/p/fcplus/public_html/includes/helper.php' (include_path='.:/usr/share/php:/usr/share/pear') in /users/f/c/p/fcplus/public_html/index.php on line 23

e qui mi sono bloccato perchè non saprei cosa altro fare .


exportquality: e qui avrei qualche rimostranza da fare , quello che hai scritto è sicuramente giusto , ma cosa pensavi che non lo sapessi , oppure pensi che mi stia divertendo a mettere del malware in rete ? se lo scopo del forum è solo quello di scambiarsi opinioni tra quelli "bravi " allora potevate dirlo subito..io credevo che fosse quello di aiutare chi inizia . Inoltre pensavo che il mio problema potesse essere di interesse generale visto che ho aggiornato alla ver 1.5.7 e il problema si è ripetuto , ma aquanto pare mi sono sbagliato visto i pochi messaggi ricevuti .

Scusate lo sfogo e la lunghezza del messaggio

Grazie marco

[rinuccio]

Sicuro che la sovrascrizione dei file sia andata a buon fine?

[atlpaperino]

Il file che ho sovrascritto( intera cartella administrator e index  e index 2 nella root principale ) portano la data di oggi , quindi penserei di si ...

ciao