Dopo recupero sito hackerato quali controlli?

[ZanchettaSolutions]

Come da oggetto ho appena recuperato i miei siti, anche se solo 1 non è stato cancellato completamente ovvero www.catalogoavon.info. Ora mmi chiedo cosa e dove andare a controllare che nn ci siano shell o cose simili che diano la possibilità all'hacker di ri-bucarmi il sito?

Aggiungo che probabilmente nn è stato bucato direttamente il sito ma piuttosto sono riusciti a rubarmi le password del sito che mi da il nome a dominio, e lì hanno cambiato IP dei siti....

[mau_develop]

Ora mmi chiedo cosa
------------------------------
..qs è un'incognita

 e dove andare
--------------------
...ovunque

nn ci siano shell o cose simili che diano la possibilità all'hacker di ri-bucarmi il sito
---------------------------------------------------------------------------------------------------------------
...sai la storia dell'ago nel pagliaio? basta semplicemente che dentro un qualsiasi file abbia messo una riga $cmd=$_GET['cmd'];

ma si può anche farlo usando i metodi di joomla.. così lo imboschi di più

... questa è una semplice e banale backdoor

probabilmente nn è stato bucato direttamente il sito ma piuttosto sono riusciti a rubarmi le password del sito che mi da il nome a dominio
---------------------------------
cos'è un sito che da nome a dominio?
... e da dove te le hanno rubate se non hanno sfruttato vulnerabilità?

, e lì hanno cambiato IP dei siti....
---------------------------------------------

...ma che hai esposto un server fatto da te?

M.

[56francesco]

che diano la possibilità all'hacker

quei simpaticoni non rompono mai un sito, si limitano ad incursioni..

da quanto dici hai ben altri problemi,  quindi per prima cosa devi identificare correttamente il tipo di attacco  magari erano  spammers che cercavano siti dimenticati per riempirli della loro monnezza

togli tutti i servizi che puntano all'esterno, cambia tutte le credenziali di accesso (tutte ftp e database compreso),  salva il database  esportandolo nel tuo pc  e quindi controlla bene il database e tutte le cartelle anche visivamente per verificare che non vi siano contenuti  strani
se puoi ricarica una copia sicuramente non attaccata oppure reisntalla tutto se puoi..
se non disponi di un antivirus aggiornato meglio se fai tutto quanto sopra in una partizione del tuo pc dove avrai installato un so linux ad esempio ubuntu

per fortuna una lamp  non ha registro di sistema quindi male che vada puoi sempre spianare tutto e ricominicare dacapo,  ciò non potrai farlo però nel tuo pc se tieni win quindi ricordati di quanto sopra  (so linux)

[ZanchettaSolutions]

I miei nomi a dominio sono registrati su xxxxxxxxxx e l'hosting da un'altra parte... Sti maledetti mi hanno rubato la pass di godaddy e cambiato l'IP in modo che puntasse sul loro spazio....! grazie delle risposte porto giu tutto il sito e lo controllo per benino cosi come il database, ma nn cè qualche programma che esegue questi controlli???

Le pass tutte cambiate con serie alfanumeriche con tanto di simboli e maiuscole e minuscole hehehehehe!

[56francesco]

ok, allora non era un problema di joomla come ora spieghi..

quindi non vedo cosa possiamo fare per te in questo forum dove sono IT joomla e le sue estensioni non commerciali..

e poi non dare la responsabilità a chi non centra niente  (seppure come categoria internettiana), è il modo migliore per farli inc......e  e  quindi  sfidarli, meglio non farlo.

[ZanchettaSolutions]

Centrano e come xke mi hanno puntato tutti i siti nei loro siti arabi di hacker. Avendo avuto a disposizione tutti i miei file tramite ftp,  lo so xke un sito lo hanno interamente cancellato, quindi l'aiuto che chiedevo era cosa e come dovevo contrallare tutti i file.

[56francesco]

non capisco,
tu dici

I miei nomi a dominio sono registrati su xxxxxxxxxx e l'hosting da un'altra parte... Sti maledetti mi hanno rubato la pass di godaddy e cambiato l'IP in modo che puntasse sul loro spazio.

quindi ti avrebbero rubato le credenziali di accesso su un servizio commerciale   (per cortesia non sono graditi  riferimenti commerciali  in questo forum)
e poi dici:

Avendo avuto a disposizione tutti i miei file tramite ftp,

quindi avrebbero rubato anche altre  credenziali di accesso su un altro servizio commerciale diverso dal primo 
e poi ancora
 

lo so xke un sito lo hanno interamente cancellato

la cosa non penso sia credibile  farlo passare come attacco di quelli che identifichi tu a meno che tu non li abbia volontoriamente sfidati  fino a farli incazzare e comportarsi diversamente da quello che  sono abitualmente come cracker
http://it.wikipedia.org/wiki/Cracker

e comunque ancora non c'entra niente joomla perchè è chiaro che se ti bucano il pannello di gestione di due servizi commerciali  come dici  le credenziali di accesso non le hanno certo prese dai files di joomla semplicemente perchè quei dati non ci stanno in un sito joomla

non sarà il caso che ti rivolgi ad un servizio di sicurezza serio nel caso quei siti abbiano un adeguato valore commerciale?

capiscimi: in quel che ti è successo joomla non centra niente,  mentre verificare se ci sta dentro un sito una qualche bestia  è robetta da bambini  infatti come ti dicevo sopra:

per fortuna una lamp  non ha registro di sistema

e aggiungo, sempre per fortuna neanche joomla ce lo tiene il registo di sistema quindi basta guardarci dentro le cartelle e magari fare una scansione con qualsiasi antivirus aggiornato, come già detto prima:

se non disponi di un antivirus aggiornato meglio se fai tutto quanto sopra in una partizione del tuo pc dove avrai installato un so linux ad esempio ubuntu

[ZanchettaSolutions]

Avevo chiesto solo un consiglio o un modo per verificare il mio sito, come da titolo! Non ho mi detto che joomla è stato bucato!
E sinceramente quando mi sveglio la mattina dopo aver fatto colazione non vado su internet a rompere le scatole agli hacker anche perche nn ne conosco!!!! Ho chiesto su questo forum perche uso joomla allora magari avreste potuto aiutarmi magari con esperienze passate!!!

Cmq il colpevole è google mail a quanto pare si divertono ad entrare nel mio account dal marocco e ci riesconoanche facilmente bho!

Cmq scaricherò tutti i siti ospitati in quell'hosting e li controllerò con spybot poi passerò al DB ed infine andrò su un servizio ITALIANO!

Grazie a tutti!

[mau_develop]

Ho chiesto su questo forum perche uso joomla allora magari avreste potuto aiutarmi magari con esperienze passate!!!
-------------------------------------------------------------------------------------------------

è giusto il ragionamento, tutte le "esperienze passate" stanno in qs sezione .

M.

[ZanchettaSolutions]

Infatti mau_develop avevo già spluciato da bravo frequentatore di questo forum, tante cose utili però nessuna rispondeva alla mia domanda, magari stupida perche non avevo mai subito una cosa del genere. Cmq come al solito siete sempre pronti prendo spunto per iniziare a studiarmi la sicurezza in joomla e non solo.

[mau_develop]

Comunque molte cose che trovi sono trattate da "forum" , ovvero si considerano i joomla tutti uguali (errore) i server tutti uguali (altro errore) e gli attacchi tutti uguali (+1)...

non è sbagliato in teoria.. tutti i joomla in partenza sono uguali e tutti gli hoster dovrebbero sapere come si configura un server, il 90% degli attacchi è fatto dal figlio scemo del vicino che si fa chiamare (anche dagli amici) Pippo_hacker e che usa tool, quindi anche il 90% degli attacchi è standard.

Ma nn è qs il modo di fare sicurezza seriamente. Puoi farla su siti amatoriali.
Puoi dire di aver trovato una soluzione affidabile solo quando hai analizzato tutto, capito cosa è successo, replicato, patchato.
E' semplice se capisci subito che è stato un bimbom.., fa le cose che fa da solo il tool e tocca solo ciò che il tool sa fare da solo... poi per lui è buio completo.

Più difficile se non complicato se sei target di qualcosa di più "dedicato", vuoi per quello che dici vuoi per la tua attività.

Quì però si presume di essere di fronte ad un'intelligenza, da non sottovalutare assolutamente, non sai lo scopo e non te lo fa capire, anzi farà di tutto per confondere le idee, sembrare il bimbom.., mettere file inutili in giro, e intanto fa quello per cui è entrato.

E' da stupidi spaccare un sito per metterci la bandiera dei pirati, molto più proficuo lasciarlo funzionare tranquillamente, ... conosco persone che hanno pure corretto delle vuln dell'applicazione uscendo ( )

Perchè?
... curiosità /sfida-> c'è chi compra la settimana enigmistica per trovare errori, risolvere rebus e chi si diverte a trovare gli errori altrove

.... spionaggio -> non pensare a chissà cosa, basta che tu hai la ditta di poltrone uguale alla mia dall'altra parte del paese... che bello sapere le tue mail, i tuoi preventivi, i tuoi clienti etc... farti concorrenza diventa semplice così pure contattare i tuoi clienti con proposte più vantaggiose, ma è essenziale che tu non ti accorga di nulla

... indagine -> a chi credi si appoggino le varie agenzie investigative? infedeltà coniugale/lavorativa

Come vedi c'è veramente un mondo immenso dietro... peccato che nessuno se ne accorga

Per ritornare al tuo caso direi che "genericamente" con la sostituzione dei files core e componenti si risolve.

altri punti deboli:

i tuoi contenuti: pdf, immagini, files

i contenuti caricabili dagli users

il database.

cosa cercare? ... quì viene il bello ... boh direi codici strani... ma ci sono mille modi per fare cose strane.

è un mondo difficile...