Autore Topic: SITO BUCATO: Sparito utente administrator (Letto 6335 volte)

mattej · « **il:** 03 Giu 2009, 00:06:38 »

Torno oggi da 3 giorni di vacanza e mi trovo una bella sorpresina..
sulla mail una richiesta di reset password mai chiesta per il mio nome utente (super administrator) del sito.
Il mio portalino non accetta più le mie password.
Se la richiedo dall'apposita voce (hai dimenticato la tua password?) dal modulo "jfusion login" mi dice che alla mail che inserisco non è associato nessun utente..
Entro nel database MYSQL, mostro i campi della taballe jos_user e scopro di avere solo più 17 utenti.. Administrator è sparito!!!

per una maggior comprensione vi spiego com'è strutturata la gestione degli utenti..
forum phpbb (registrazione utenti abilitata)
sito joomla (registrazione utenti disabilitata e sincronizzazione tramite jfusion)

avete qualche idea di come sistemare la cosa?!

è possibile creare un utente super admin dal mysql?

ringrazio

mattej · « **Risposta #1 il:** 03 Giu 2009, 00:28:59 »

Aggiornamento!!
sono riuscito ad entrare ma è tutto bloccato!
dal phpadmin ho notato un certo utente "vicious" come super administrator, gli ho cambiato la pss e sono entrato nel pannello, però ora qualsiasi funzione è bloccata. mi viene fuori una finestra che mi richiede un autorizzazione per l'accesso:

"Un nome utente e una password sono stati richiesti da http://www.trialmap.it. Il sito riporta: "kullanici adi ve sifreyi girin"

56francesco · « **Risposta #2 il:** 03 Giu 2009, 11:00:00 »

che versione di joomla avevi installata?

mattej · « **Risposta #3 il:** 03 Giu 2009, 11:26:54 »

1.5.9
se la aggiorno alla .11 dite che risolvo qualcosa?

56francesco · « **Risposta #4 il:** 03 Giu 2009, 11:30:33 »

ora non ha senso aggiornare, direi che hai subito una intrusione...

modifica subito le credenziali di accesso, tutte, ftp e dabase comprese perchè ora le conosce anche chi si è introdotto..

se avevi le copie e sono sane prima ripristina quelle poi aggiorna di corsa
ma se non cambi le credenziali di accesso è lavoro inutile..

anche avvisare l'assistenza hosting sarebbe opportuno..

mattej · « **Risposta #5 il:** 03 Giu 2009, 21:30:45 »

credenziali modificate!
ma non si riesce proprio a togliere quella finestra di autentificazione senza ripristinare tutto?

56francesco · « **Risposta #6 il:** 03 Giu 2009, 21:37:57 »

ti riferisci al modulo login?
non capisco..

mattej · « **Risposta #7 il:** 03 Giu 2009, 21:42:26 »

no, a quella che salta fuori nel pannello di controllo quando si clicca su qualsiasi voce.

56francesco · « **Risposta #8 il:** 03 Giu 2009, 22:13:44 »

sarà un effetto dell'intrusione,
non hai una copia sana da ricaricare?
neanche solo del satabase?

mattej · « **Risposta #9 il:** 03 Giu 2009, 22:19:04 »

si ma risale a fine aprile.
ripristinandola andrebbero perse tutta una serie di modifiche sperimentali che avevo apportato solo sul server e non in remoto.. (sbagliatissimo)

mattej · « **Risposta #10 il:** 10 Giu 2009, 17:49:01 »

Alla fine ho risolto pubblicando una copia di backup che ho provveduto subito ad aggiornare alla versione 1.5.11.
Tutto bene fino a 10 minuti fà quando mi arrivò una richiesta di reset password sulla mia mail, tempo di collegarsi al sito e.. trak! NUOVAMENTE BUCATO!!! ma com'è possibile!?

56francesco · « **Risposta #11 il:** 10 Giu 2009, 20:33:35 »

cosa ti è successo di preciso, avevi modificato anche le password ftp e del database?

mattej · « **Risposta #12 il:** 11 Giu 2009, 09:19:22 »

Del database no perchè non sono riuscito ma le altre tutte.. (FTP e Administrator del sito)
Praticamente mi è arrivata una richiesta di reset password sulla mail e da quel momento mi sono trovato questa pagina al posto del mio sito.. resettando poi la pss admin dal database sono entrato nel pannello di controllo e, dopo aver effettuato il login anzichè la classica schermata compare una roba strana con la possibilità di editare le cartelle del sito..
Dove può essere il problema?
da che parte saranno entrati?
controllando la lista aggiornata dei componenti potenzialmente bucabili ho notato che non ne uso nessuno di quelli.

56francesco · « **Risposta #13 il:** 11 Giu 2009, 09:31:49 »

Citazione

Del database no perchè non sono riuscito

Citazione

Dove può essere il problema?
da che parte saranno entrati?

ti sei risposto da solo....

nella schermata strana forse c'è una opzione per liberare il sito, prova a cercarla e se puoi prima fai delle stampe delle videate..

mattej · « **Risposta #14 il:** 11 Giu 2009, 09:44:17 »

Mi sembra un pò strano dal database altrimenti avrebbero potuto fare decisamente più danni.. c'è anche un forum in PHPbb sullo stesso DB e quello funziona senza problemi..
Provo a cercare questa funziona per ripristinare il tutto nel frattempo allego la schemata

[allegato eliminato da un amministratore perchè più vecchio di 365 giorni]

56francesco · « **Risposta #15 il:** 11 Giu 2009, 09:47:17 »

Citazione

Mi sembra un pò strano dal database altrimenti ..

hanno fatto esattamente quello che volevano e poi se ne sono andati...
non cambiarla se credi, dopotutto sono immagini che aggiornano spesso e anche carine da vedere..

tiè · « **Risposta #16 il:** 11 Giu 2009, 10:14:10 »

ti hanno installato una shell php sul server!
devi cambiare tutte le password ma proprio tutte, se non ti hanno danneggiato di più è perchè a loro basta così per dimostrare di essere bravi.

p.s. naturalmente è sgaragnao!

mattej · « **Risposta #17 il:** 11 Giu 2009, 10:20:56 »

Ma una volta modificate le PSS c'è un modo per riparare il sito o reinstallo tutto?

JoomlArt.eu · « **Risposta #18 il:** 11 Giu 2009, 10:21:48 »

con i backup del db e dello spazio web che esegui via ftp.

mattej · « **Risposta #19 il:** 11 Giu 2009, 10:28:16 »

Citazione da: paginiroger - 11 Giu 2009, 10:21:48

con i backup del db e dello spazio web che esegui via ftp.

Ovvio.. ma di ripararlo nemmeno pensarlo?