Autore Topic: Sito Hackerato: creati abusivamente nuovi utenti  (Letto 649 volte)

Offline pintame

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Sito Hackerato: creati abusivamente nuovi utenti
« il: 31 Ott 2016, 15:44:51 »
Salve a tutti.
Solo stamattina ho potuto accorgermi che in data 29-10-2016 qualcuno ha registrato abusivamente 2 nuovi utenti sul mio sito Joomla, nonostante il sito non offra questa possibilità da frontend e la funzione di registrazione nuovi utenti sia bloccata all'interno di Joomla stesso. Il backend è protetto da autenticazione a due fattori e da un componente che impedisce di accedere direttamente ad /administrator/index.php. L'accesso a Configuration.php è protetto da direttiva .htaccess.
Preciso che la versione di Joomla installata era la 3.5.1 (ok, forse gli ho dato una mano...), ora aggiornata a 3.6.4. Ho eliminato i due account abusivi ed ho inoltre modificato le credenziali di accesso del Superuser, anche se dubito che abbiano violato questo account.
Dalla schermata che allego sembra che i due utenti estranei siano stati registrati ma non abbiano mai eseguito l'accesso (comunque erano antrambi attivati, li ho disabilitati io prima di eliminarli). Io non ho le conoscenze per verificarlo, nè per capire quali altre operazioni possano aver fatto, e vorrei sapere come vedere eventuali anomalie nel comportamento del mio sito a seguito di questo evento e quali altre misure mi consigliate di adottare.
Il sito sembra funzionare normalmente.
Grazie.

Offline giusebos

  • Fuori controllo
  • *
  • Post: 18054
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Sito Hackerato: creati abusivamente nuovi utenti
« Risposta #1 il: 31 Ott 2016, 17:55:02 »
purtroppo hai chiuso la stalla quando i buoi sono scappati; se vuoi un sito con un cms devi aggiornarlo sempre ad ogni nuova versione.

Di preciso nessuno sa cosa hanno fatto oltre ad essere entrati e creato degli account superuser, quindi leggiti gli articoli in testa a questa sezione per procedere ad un eventuale ripristino.
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline pintame

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Re:Sito Hackerato: creati abusivamente nuovi utenti
« Risposta #2 il: 31 Ott 2016, 21:23:20 »
purtroppo hai chiuso la stalla quando i buoi sono scappati; se vuoi un sito con un cms devi aggiornarlo sempre ad ogni nuova versione.
:P lo terrò bene a mente per il futuro.
Comunque ho interpellato anche il mio provider che mi ha risposto così:
Citazione
dai log risulta che la registrazione di nuovi utenti è avvenuta attraverso il modulo nativo di joomla, raggiungibile direttamente da MIO-SITO/component/users/?task=user.register, dall' IP 173.208.211.250
Ecco il curriculum di questi signori: https://cleantalk.org/blacklists/173.208.211.250
Come vedete si stanno dando da fare in questi giorni con una predilezione per Joomla!, quindi occhio.

Quello che non capisco è questo indirizzo /component/users/?task=user.register ... È il modulo di login di Joomla, tuttora raggiungibile sul mio sito dopo l'aggiornamento a 3.6.4 . Vedo che dà la possibilità di richiedere la password o l'username smarrita... ma nel backend ho bloccato queste funzioni  >:(
Vabbè: rado al suolo tutto e ripristino da un precedente backup (almeno quello l'avevo fatto)

Offline giusebos

  • Fuori controllo
  • *
  • Post: 18054
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Sito Hackerato: creati abusivamente nuovi utenti
« Risposta #3 il: 31 Ott 2016, 22:57:49 »
forse non hai capito che l'ultimo aggiornamento serviva proprio ad eliminare il bug di cui ti ha parlato il provider.
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline pintame

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Re:Sito Hackerato: creati abusivamente nuovi utenti
« Risposta #4 il: 31 Ott 2016, 23:53:07 »
In effetti non avevo capito...
Premesso che sto già cancellando tutti i files e il database in vista di un ripristino completo, è normale che nonostante l'aggiornamento all'ultima versione del cms il componente del login non risponda ai settaggi di backend? Mi riferisco al fatto che ho disabilitato l'invio delle credenziali via email, ma comunque questo presentava i link per recuperare username e password  ::) .
Siccome il mio sito deve avere un unico utente (il Superuser) che si logga nel backend, può avere un senso, quale ulteriore ostacolo ai futuri malintenzionati, impedire tramite .htaccess l'accesso a /component/users ?

Offline giusebos

  • Fuori controllo
  • *
  • Post: 18054
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Sito Hackerato: creati abusivamente nuovi utenti
« Risposta #5 il: 01 Nov 2016, 10:40:59 »
oggetto dell'akeraggio è stata proprio la questione registrazione e login, quindi cosa vuoi di più. Elimina tutti i file e reinstalla joomla, perchè è questo che ormai puoi fare.
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

 

Torna su