appena ripristinato installeremo l'aggiornamento di sicurezza, ed elimineremo se ci sono i files indicati dall'assistenza (sotto riportati).

non ha senso, allora non serve ricaricare il backup se è inquinato

tanto vale lavorare sull'attuale

Modificato 16 Novembre 201213 anni da gianpiero

NO beh mi sono espresso male, volevo dire che controlliamo se eventualmente ci sono.

Non perderemo alcun dato nel fare bkp, in quanto la cartella Upload contiene files facilmente controllabili, quelli infetti rispondono alla descrizione. e il DB non viene interessato dal BKP dato che si tratta della sola installazione FTP.

Primo allarme notato lunedi, abbiamo un bkp di fine ottobre.

Cosa mi dite dei tool della board? Qualcuno li ha avviati?

Io purtroppo devo aspettare il sistemista fino lunedi

adesso vedo : hai un jOOMLA in home ? a me l'alert esce solo in home

l'alert dell'antivirus ti compare anche sul forum ? a me no

forse è un caso, ma di solito ad ogni refresh su altre board infette mi compare l'avviso, non sulla tua

si home joomla... probabilmente sei capitato mentre ripulivo...

ma torna a ruota.. fino a che non sistemiamo è tutto un pò ballerino il discorso

se per favore continuate a tenermi aggiornato visitando il mio sito mi date una mano, almeno vedo se le operazioni che faccio danno risultati...

Grazie mille!

io non ti posso aiutare perche nom ho mai avuto alert

Io ho àvuto un avviso con avast mentre visitavo invisionita quando vi vedevano le scrittebdi errore

ma ora non piu spero

è passata una nottata e una mattina intera... i files .php non si sono ancora infettati...

buon segno, ma speriamo bene non è detta l'ultima

di solito in 4 ore io li avevo di nuovo infetti

depression .... h.12.10 dd. 17.11.2012

Rapporto dettagliato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato: http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 (analisi tramite il database delle URL sospette) http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 URL trovata nel database

http://community.invisionpower.com/topic/372850-securing-your-community/

...aspetta, di che database parla l'antivirus? del suo DB di definizioni virus o di uno script trovato nel mio database?

comunque confermo che nella home ho piu problemi, nel forum va molto meglio ora.

puoi scansionare solamente la zona forum? scooternos.net/forums

Grazie mille!

Modificato 17 Novembre 201213 anni da imbaracing

Soccia regaz, mi fate stare col sacchetto di plastica sotto al sedere!

Mi tocco i gioielli di famiglia!

Io dovrei aver risolto definitivamente, vi dico come ho fatto:

Ho fatto un bkp FTP dei soli file di installazione (quindi ho lasciato inalterati tuti gli upload e i database) scegliendo tra un bkp piu recente possibile e pulito (almeno "ad occhio")

Su questo immediatamente va fatta la PATCH di IPB e va verificata la non esistenza dei files di cui parla l'opratatore nella risposta che ho postato nella pagina prima, se trovate qualsiasi cosa va eliminata (fate sempre una copia prima di fare danni).

Io vi dico che va bene pure eliminare manualmente dato che dopo che avevo fatto il BKP ho aspettato tempo e mi hanno reinfettato (quindi come se non avessi fatto nulla). Molto importante eliminare quel file zx.php e quelli esadecimali.

subito fare la patch e ricercare tutti i files index.php di TUTTA l'installazione del vostro sito, quindi anche fuori di IPB, infatti io avevo qualcosa ieri che mi era sfuggito sulla installazione joomla, infatti a qualcuno dava ancora gli allert, ma solo su home.

Contestualmente runnate i tool di ipb tra cui quello piu importante è UNAUTHORIZED FILES CHECKER: vi fa vedere quali files secondo lui sono di troppo nella installazione di IPB... chiaro che per tutto quello che non è ipb sarà piu difficile individuare eventuali intrusi.

Spero di essere stato di aiuto e spero che il mio sito stia bene anche per i prossimi giorni!

PS: sono gia quasi 3 giorni che i files non si rigenerano

ciaooo

Ho perso un pò la discussione per cause lavorative, ragazzi ricordatevi se siete su shared o vps o dedicati cercate di capire se anche alla base ci sono le misure di sicurezza giuste. Noi abbiamo implementato altre funzioni disabilitate dopo questo spiacevole inconveniente, ma quelle che avevamo sono servite ad arginare l'attacco solo ai file index.html e .php senza compromettere i dati degli utenti e quant'altro. Quindi assicuratevi di avere alcune funzioni disabilitate sui vostri server, di abilitare open_basedir (se avete la mod_suphp di abilitare open_basedir tramite php.ini).

Io non sono stato infettato ma è successo quest'altro.

Attenzione a chi usa server Linux

http://punto-informatico.it/3654939/PI/News/rootkit-64-bit-che-infetta-kernel-linux.aspx

Che ha portato poi ad una vecchia conoscenza sulle porte SSH

http://punto-informatico.it/2387656/PI/News/ssh-violato-linux-sotto-scacco.aspx

Io vi consiglierei di farvi un backup del vostro SQL oltre a quanto già detto.

Colpisce e danneggia il vostro database.

Ve lo dico per esperienza diretta.

Per tranquilizzare i più, chi fa housing deve stare particolarmente attento.

Sono i bersagli preferiti.

una curiosità: si qualifica come istella ?

Anch'io ho trovato istella....poi sei riuscito a bloccarlo?....con l'ip in .htaccess non mi funziona...

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Modificato 28 Novembre 201213 anni da gianpiero

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Si, avevo intuito fosse legato a Tiscali, ma sembra che consuma notevoli risorse....il che mi secca non poco...

penso sia una indicizzazione forzata in questo periodo, poi calerà speriamo

Anch'io lo tengo sotto controllo

penso sia una indicizzazione forzata in questo periodo, poi calerà speriamo

Anch'io lo tengo sotto controllo

La situazione rimane la medesima e devo dire eccessiva....non so se capita anche ad altri, ma questa indicizzazione mi causa un consumo di risorse assurdo....tra l'altro pur provando ad intervenire via robots.txt ed anche htaccess nulla cambia. Qualcuno ha suggerimenti su come intervenire in merito?

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

Già fatto via robots.txt, validato come sintassi, ma nulla da fare. Ho anche provato in htaccess per bannare l'ip, ma anche in quel caso nessun risultato.