[Joomla] Dominio compromesso da malware

[arval]

Buongiorno!
Mi trovo in una situazione nuova, in riferimento a un sito online da qualche anno, mi è arrivata l'email che vi posto qui di seguito.
Come puo essere capitata una cosa del genere?
C'è scritto ovviamente di non rimpiazzare con tutta la struttura del sito ma di reinserire i contenuti. Significa che devo ricreare il sito da zero, fondamentalmente? Qual è la via per rendere il tutto più semplice?
Grazie in anticipo a chi mi risponderà.

Gentile cliente,
ti informiamo che il dominio xxx è stato temporaneamente sospeso poiché ne è stato rilevato un utilizzo non conforme alla "Policy di utilizzo dei servizi xxx".

In particolare, il dominio risulta seriamente compromesso da malware e la sospensione è stata attuata per motivi di sicurezza.

La pagina malevola rilevata è :
xxxx

Ti informiamo inoltre che, qualora tu avessi attivato un certificato SSL relativamente al nome a dominio in oggetto, questo verrà revocato dalla CA.
Sarà possibile richiedere gratuitamente l’emissione di un nuovo certificato solo nel momento in cui la problematica riscontrata sarà eliminata ed il sito web reso sicuro ed affidabile.

Ti ricordiamo che per riattivare il servizio occorre svolgere le operazioni necessarie affinché questo risulti conforme alla Policy, tra cui:

• Effettuare il reset dello spazio web seguendo quanto riportato nell’apposita guida (ti ricordiamo che dovrai eseguire eventuali copie di backup del materiale attualmente presente prima di eseguire il reset);
• Installare nuovamente tutti i file utilizzando una versione aggiornata del CMS, dei Plugin o dei Framework importando esclusivamente i contenuti e non l’intera struttura di file e cartelle che risulta compromessa;
• Effettuare il reset della password di gestione del dominio seguendo la procedura online presente su questa pagina.

Inoltre, per evitare il ripetersi degli attacchi ed evitare vulnerabilità nella sicurezza, ti consigliamo alcune norme di comportamento:

• Controllare periodicamente i computer o i dispositivi utilizzati per la pubblicazione al fine di verificare che non contengano Trojan, Malware, Keylogger o simili in grado di consentire a terzi di appropriarsi illecitamente dei dati di gestione;
• Eseguire periodicamente accurate scansioni Antivirus e Antispyware;
• In caso di utilizzo di applicazioni come WordPress, Joomla o simili, modificare la password degli utenti amministratori che hanno accesso ai pannelli di gestione dei CMS;
• Controllare le caselle di posta a cui sono collegati tali utenti;
• Verificare almeno una volta al mese la disponibilità di aggiornamenti di versione delle applicazioni in uso.

 

[Max 1]

La mail te l'ha inviata il privider?
Dovresti chiedere a loro cosa fare e come è successo, loro dovrebbero avere sistemi antivirus antimalware!
Una soluzione potrebbe essere (se tu hai un backup che dovrebbe essere sempre fatto), Cancellare tutti i file e ripubblicarli nuovamente.
Ti sposto perché questa non è la sezione giusta

 

[arval]

Ciao! Scusa e grazie per la risposta.
Si e un'email che mi ha inviato il provider. E loro scrivono di non ripubblicare il backup ma di reinserire manualmente i contenuti, perché rischio di "reinserire" il problema. Ma infatti non avrebbero dovuto proteggermi loro da certe cose?

 

[Max 1]

Si avrebbero dovuto loro avere protezioni! Io cambierei provider!
Il backup a cui mi riferivo io è un backup che avresti dovuto avere tu nel tuo PC fin da quando hai finito di fare il sito e hai trasferito i file! Ovvio che il loro backup puo essere infetto! Se non ne hai uno tu è un problema

 

[arval]

Dovrei averlo, fortunatamente.
In effetti posso "risolvere" così, ma chiariro la questione della mancata protezione da parte loro. Grazie comunque

 

[mr.x]

Ma infatti non avrebbero dovuto proteggermi loro da certe cose?

Infatti hanno sospeso l'account..
Il provider potrebbe bloccare l'upload di file infetti, ma la scrittura di codice malevolo direttamente sullo spazio web è più complicato, inoltre qualsiasi antivirus riconosce virus gia conosciuti (con sistema euristico può riconoscere anche varianti o potenziali virus non ancora inseriti in database, ma questo sitema può produrre falsi positivi rd in caso di pagine web creare non pochi problemi).

Tieni presente che ricaricando un backup e non operando nessuna misura di sicurezza (come aggiornamento di estensioni del cms, cambio delle pass) il problema può ripresentarsi a breve.

 

[Max 1]

Infatti hanno sospeso l'account..

E tu come lo sai?

 

[mr.x]

E tu come lo sai?

è scritto nel primo msg, nella mail postata... e comunque è una procedura comune per hosting che fanno un minimo di controllo (e visto che hanno avvisato qualche controllo lo fanno, in proprio o dopo segnalazione ).

 

[Franci.7.]

Se hai il backup nel tuo pc utilizza quello allora e non dovresti avere problemi

 

[vedova]

Tutti i provider hanno delle fair use policy , prova a controllare...
Ad esempio se non hai aggiornato il CMS o comunque è stato compromesso per bug al tempo
sconosciuti, può accadere, per non compromettere tutti gli altri ospiti.