• Super User

    Questo sito potrebbe essere compromesso... come risolvo? hacker in azione?

    Salve
    ho ricevuto una email da google che mi dice che un mio sito forse è stato hackerato ed in effetti sembra che qualcuno ha sfruttato (Credo) una vulnerabilità di joomla infatti sono state create pagine tipo:

    w ww. sitohackerato .it/flq_eopala/13061.htm
    ed altre simili.

    Poi ho notato un'altra cosa, nella loro email mi dicono che sono presenti pagine di un altro mio sito che sta sullo stesso server.

    Per esempio ho un sito tipo w ww . miodominio .it /pagina-1.php e questa pagina è visibile anche sul dominio hackerato con un indirizzo tipo ht tp:// mail. sitohakerato. it/pagina-1.php

    Non capisco come possa essere successo, ma sapete cosa posso fare?

    Intanto nella root del sito ho trovato un file xml che non era il mio e mi creava i link alla directory flq_eopala che io non ho mai creato.

    Qualcuno di voi che utilizza joomla ha avuto lo stesso problema?
    Sapete come posso risolvere?
    Nel frattempo ho rimosso tutti i file dal sito e li sto riuploadando

    Grazie


  • Moderatore

    Ciao No_Stress, innanzitutto bisogna fare una distinzione, se usi un server tuo (o VPS) oppure sei in ambiente hosting. Nel primo caso bisognerà fare una scansione con un buon antivirus da shell, fare una scansione per trovare eventuali file corrotti e verificare cosi se ci sono altri files infetti o virus vari. Questo va fatto per l'intero server in quanto potrebbero essersi propagati non solo all'interno della root del sito ma anche in altri punti.

    Diversamente, se sei in ambiente di hosting è impensabile che possano aver "bucato" il sistema (e se lo hanno fatto, cambia provider). Anche se poi è anche vero che se joomla non è aggiornato (o i suoi componenti) possano entrare... ma ciò nn toglie che l'hosting debba accorgersene.

    Se hai bisogno, scrivi pure!
    Ciao,

    R.


  • Super User

    ciao Riccardo e grazie per la risposta

    Sono su server dedicato, secondo me hanno bucato solo quel sito perche' su altri non trovo errori.
    Per le pagine duplicate dall'altro sito, mi sa che c'era una configurazione errata nei dns, ora che l'ho rimossa sembra che ho risolto.

    In ogni caso sto facendo la nuova versione di questo sito ma in wordpress eliminando poi joomla.

    Per quanto riguarda la scansione, vorrei anche farla, ma poi non riuscirei a capirci nulla nel risultato che mi tirerà fuori.
    Esiste qualche guida facile da capire per le scansioni da shell e l'interpretazione dei risultati?

    Grazie