Autore Topic: HANNO HACKERATO JOOMLA!! (Letto 6603 volte)

DJ-HACK-PSP · « **il:** 15 Ago 2010, 06:48:32 »

ragazzi lo avete fatto voi o e' stato un'hacker?? anche i nostri siti con joomla! verranno bloccati??

vales · « **Risposta #1 il:** 15 Ago 2010, 06:56:36 »

potresti precisare a cosa ti riferisci ?

un tuo sito ? Joomla.it ? Joomla.org ?

vales · « **Risposta #2 il:** 15 Ago 2010, 07:00:24 »

Ho visto cavolo.

nLiter · « **Risposta #3 il:** 15 Ago 2010, 07:21:19 »

Brutta storia...

alexred · « **Risposta #4 il:** 15 Ago 2010, 08:32:02 »

xplosion · « **Risposta #5 il:** 15 Ago 2010, 09:50:49 »

Infatti, la stessa maschera lo visto anch'io 10 min fa

Vedo inoltre che anche tempi di risposta per le query sono alti, le pagine si caricano molto lento.

alexred · « **Risposta #6 il:** 15 Ago 2010, 09:59:43 »

hanno modificato il file .htaccess
ripristinando l'originale il sito è tornato nuovamente visibile.

Non siamo ancora in grado di dire da dove sono passati per effettuare quella modifica al file .htaccess di www.joomla.it

bismark2005 · « **Risposta #7 il:** 15 Ago 2010, 10:21:48 »

Cliccando sul sito di Joomla reindirizzava al seguente link: http://www.***************
Poi c'era una scritta che diceva:

Wake up...
Your security sucks.
This site has been hacked by Ancient.
-
-
-
-
-
Connection terminated._

Molto strano però. Credo che i vari esperti del forum siano in grado di risalire al "malfattore".

ofranco · « **Risposta #8 il:** 15 Ago 2010, 11:08:47 »

Questo sito sembra contagiato:
............

Edit: non è buona norma mettere link a siti che sono stati attaccati, questi trasmettono virus.

MarkOne · « **Risposta #9 il:** 15 Ago 2010, 20:08:10 »

l'acaro colpisce sempre il "dì di festa" col vantaggio della notte e appena ci si rilassa un attimo.
Solo scarafaggi, sorci e borseggiatori si comportano così.
Con tutti i fulmini che cadono nel vuoto in questi giorni vuoi proprio che almeno uno non riesca a colpire nel segno?

biv2533 · « **Risposta #10 il:** 15 Ago 2010, 20:46:00 »

Sono d'accordo sul trattamento degli acari ,ma bisogna anche valutare che se i danni sono solo quelli, trattasi si un bel avvertimento.

Nel senso che se dovessero venire i ladri a casa mia e mi mettessero solo un cartello con scritto, guarda che se avessimo volutorubare lo avremmo fatto, ne sarei ben contento.

Purtroppo tutti i sistemi open source sono allo stesso modo presi di mira in quanto la possibilita' di studiarne il codice aiuta i mezzi furbtetti di cui sopra.

Per contro i sistemi open source, proprio perche' hanno una grandissimi community internazionale,hanno una velicissima risposta con produzione di pach a tempi record.

Confesso tuttavia, che nonostante sia ultraconvinto che la maggior parte dei buchi di joomla sia dovuta a moduli o componenti, suppongo che una piccola parte possa esserci anche nel core stesso.

E' solo una supposizione, ma in cosi' tante riche di codice potrebbe essere facile trovarne una vulnerabilita'.

L'importante in azioni come queste e' capire cosa non ha tenuto o non ha funzionato.

nLiter · « **Risposta #11 il:** 15 Ago 2010, 22:07:07 »

Citazione da: alexred - 15 Ago 2010, 09:59:43

hanno modificato il file .htaccess
ripristinando l'originale il sito è tornato nuovamente visibile.

Non siamo ancora in grado di dire da dove sono passati per effettuare quella modifica al file .htaccess di www.joomla.it

mmm...allora restiamo in attesa di maggiori info.

nLiter · « **Risposta #12 il:** 18 Ago 2010, 16:51:30 »

@alexred

ci sono novità in merito alla tecnica utilizzata per l'attacco?

MarkOne · « **Risposta #13 il:** 19 Ago 2010, 16:09:02 »

mi associo alla richiesta e, soprattutto della corrispondente patch per sigillare il buco

alexred · « **Risposta #14 il:** 19 Ago 2010, 16:17:10 »

sembra l'attaccante arrivi dalla svezia.... oppure ha voluto farlo sembrare.
Sembra che il 14 agosto abbia sfruttato una vulnerabilità presente in un vecchio componente, che stupidamente ho lasciato in un sottodominio di Joomla.it, per caricare un file manager sul server. Poi la notte del 15 agosto ha modificato con il filemanager il file .htaccess di Joomla.it

Quindi niente falla su Joomla, ma su una vecchia estensione dimenticata in un sottodominio

Enidocom · « **Risposta #15 il:** 19 Ago 2010, 16:21:09 »

Quale componente?.....
Dacci notizie più dettagliate

MarkOne · « **Risposta #16 il:** 19 Ago 2010, 16:22:56 »

bisogna avere occhi, e ben spalanchi, in ogni dove, anche dietro ...

bismark2005 · « **Risposta #17 il:** 20 Ago 2010, 10:11:53 »

Credo che tentare di spiegare l'attacco sia inutile. Capire cosa hanno fatto è impresa ardua. Ci troviamo di fronte a persone molto molto esperte, e la tecnica utilizzata potrebbe essere conosciuta solo da chi l'ha messa in pratica.

pasticca · « **Risposta #18 il:** 20 Ago 2010, 18:05:12 »

ma pensate sia un problema legato solo alla vostra installazione o dobbiamo preoccuparci tutti noi utilizzatori di joomla?!?!

vamba · « **Risposta #19 il:** 20 Ago 2010, 18:21:31 »

@pasticca
mi pare che Alex abbia risposto abbastanza dettagliatamente riguardo al problema incontrato da questo sito.
Ti riporto, di seguito, nuovamente la sua risposta...

Citazione

Sembra che il 14 agosto abbia sfruttato una vulnerabilità presente in un vecchio componente, che stupidamente ho lasciato in un sottodominio di Joomla.it, per caricare un file manager sul server. Poi la notte del 15 agosto ha modificato con il filemanager il file .htaccess di Joomla.it

Quindi niente falla su Joomla, ma su una vecchia estensione dimenticata in un sottodominio

Mi pare abbastanza chiara ed esplicita.

Autore Topic: HANNO HACKERATO JOOMLA!! (Letto 6603 volte)

vamba