Autore Topic: Problema di sicurezza intrusione e cambio nome utente da sconosciuto  (Letto 570 volte)

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
Ciao a tutti,
ho un problema piuttosto serio di sicurezza:  ho un sito joomla a cui qualcuno continua a cambiare il nome utente dell'amministratore...non fa danni... ma è alquanto spiacevole... le password di tutto ( cpanel, utente mysql e amministrazione joomla) son molto forti, ma nonostante questo mi viola ogni due o tre gg il sito, in verità me lo fa anche su alcuni siti in wordpress... il nome utente che mette sempre è " indoxploit"... a qualcuno è successo?

Grazie mille.
« Ultima modifica: 29 Dic 2017, 14:01:35 da Silvio Trisorio »

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 3180
  • Sesso: Maschio
    • Mostra profilo
Re:Problema di sicurezza
« Risposta #1 il: 29 Dic 2017, 13:35:22 »
Non è che qualcuno che ha le password ti fa uno scherzone?

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 3180
  • Sesso: Maschio
    • Mostra profilo
Re:Problema di sicurezza
« Risposta #2 il: 29 Dic 2017, 13:36:20 »
In ogni caso metti un titolo più esplicativo al tuo post, problema o aiuto o non funziona, non rendono l'idea e sono troppo generici.

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
Re:Problema di sicurezza
« Risposta #3 il: 29 Dic 2017, 14:00:54 »
Il nome utente lo puoi cambiare solo se hai accesso al db o sbaglio?

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 3180
  • Sesso: Maschio
    • Mostra profilo

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
Grazie ho chiesto al provider di fare una scansione del server

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Molto probabilmente non basterà.

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
perchè lo pensi?

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Perchè il sito è totalmente compromesso.
Oltre alla shell che la scnasione potrebbe rivelare ci potrebbe essere codice apparentemente innoquo in chissà quale file che ripermetterebbe di riavere l'accesso. Per prima cosa poi dovresti individuare la falla di sicurezza e tapparla, altrimneti sei di nuovo da capo.

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
Faccio  bakup periodici di file e db, ne ho anche prima delle intrusioni, solo che nel frattempo ho fatto degli aggiornamenti. Alla peggio cosa ne pensi se cancello tutto e ripristino i files? se li collego ad un bakup del db recente non perdo neanche le modifiche...pensi che possa essere usato il db o anche quello può essere danneggiato?

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Penso che non sia sicuro ripristinare i files, a meno che tu non sia certo che i files siano puliti e questo lo puoi fare solo analizzandoli.
Il db di solito è pulito, ma in alcuni casi può essere compromesso, quindi va analizzato anche quello.

PS: la discussione andava scritta nella sezione sicurezza, non joomla 3....

Offline Silvio Trisorio

  • Esploratore
  • **
  • Post: 81
  • Sesso: Maschio
    • Mostra profilo
Ok, ho provato a piallare la root e istallare tutto da capo, ho tenuto buono solo il db... tenendo db e cartlella immagini non ho perso le modifiche...vediamo che succede.

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Come primo tentativo e spero ultimo è buono, cambia ancora una volta tutte le password!

Offline amigamerlin

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Con una semplice ricerca su google:

https://support.alertlogic.com/hc/en-us/articles/115004991206-09-29-17-IndoXploit-PHP-Shell

Dal link postato da Marine è eveidente che non è un problema di joomla ma dell'ISP che gestisce il server.
Personalmente procederei a step. Cambierei ISP in primis. In secundis avendo a disposizione un backup, ripristinerei il sito e proverei ad effettuare una scansione dello stessa tramite sucury site checker per comprendere se nello stesso vi sia o meno qualche codice malevolo.

In merito al DB verificherei le tabelle e se è presente qualche componente / modulo / plugin strano di cui disconosci la funzionanlità.

Ciao

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Perchè dovrebbe essere un problema dell'isp? L'isp è l'internet service provider, al massimo del web hoster.
Comunque indoxploit è una shell php come un'altra, che si può caricare sfruttando le falle di sicurezza di joomla e sue estensioni.

Offline amigamerlin

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Perchè dovrebbe essere un problema dell'isp? L'isp è l'internet service provider, al massimo del web hoster.
Comunque indoxploit è una shell php come un'altra, che si può caricare sfruttando le falle di sicurezza di joomla e sue estensioni.
E come la definisci l'installazione non autorizzata di una shell php se non una falla ENORME di sicurezza del tuo ISP ? Com'è altrimenti possibile ? Hai letto la pagina linkata di marine? Si parla di server vulnerabili e configurati in maniera non corretta. Hai una vps? Hai configurato tu il tuo spazio? In caso positivo fatti aiutare da persone esperte. In caso negativo la responsabilità é del tuo isp.

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Ripeto che l'isp non centra proprio nulla; con isp ci si riferisce all'internet service provider, quello che dà la connessione a internet, telecom, eolo, fastweb, o quello che preferisci.
Perchè mai telecom dovrebbe bloccare il caricamento di una shell? Le shell sono strumenti amministrativi.


Offline amigamerlin

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Ripeto che l'isp non centra proprio nulla; con isp ci si riferisce all'internet service provider, quello che dà la connessione a internet, telecom, eolo, fastweb, o quello che preferisci.
Perchè mai telecom dovrebbe bloccare il caricamento di una shell? Le shell sono strumenti amministrativi.
credo tu sia un po confuso. ISP =  Internet service provider. Fornitore servizi internet. Il sito web unitamente al nome, allo spazio a php, mysql cgi etc  sono servizi internet. Non centra nulla telecom che fornisce semplicemente la connessione. aruba ad esempio é un ISP.

Online danielecr

  • Appassionato
  • ***
  • Post: 634
    • Mostra profilo
Quello che descrivi è il web hoster, non l'isp, sito web, php e tutte le cose che elenchi non centrano proprio nulla con l'isp. aruba è un isp quando ti fornisce una linea dati. Comunque, molto probabilmente non è colpa del web hoster, ma di aggiornamenti ritardati o estensioni fallate.

Offline amigamerlin

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Quello che descrivi è il web hoster, non l'isp, sito web, php e tutte le cose che elenchi non centrano proprio nulla con l'isp. aruba è un isp quando ti fornisce una linea dati. Comunque, molto probabilmente non è colpa del web hoster, ma di aggiornamenti ritardati o estensioni fallate.
.

ISP : https://it.wikipedia.org/wiki/Internet_service_provider  Telecom è un ISP di primo livello. Quando ho scritto che telecom non c'entra era riferito alla problematica che stai riscontrando e la stessa deve essere cercata nella vulnerabilità del tuo ISP (ISP di secondo livello -  Fornitore di altri serviz internet) Il web hosting a cui tu ti riferisci è uno dei Servizi offerti dagli ISP al pari delle VPS, dei server, e di tutti gli altri servizi correlati.

In ogni caso, se il concetto su espresso inerente l'installazione non autorizzata di una shell php costituisce una falla di sicurezza del tuo ISP (chiamalo come meglio credi), che permette l'esecuzione di processi senza un adeguato controllo sulla utenza, ti è estraneo, ti faccio i miei migliori auguri nella ricerca e risoluzione in maniera definitiva della probelmatica. 

Quanto descrivi non è compresa nelle vulnerabilità note di joomla (nessuna delle versioni fino alla attuale).

 

Torna su