Autore Topic: [aiuto]sito hackerato (Letto 14159 volte)

bobighorus · « **il:** 14 Nov 2006, 16:05:39 »

Ciao!Sono il webmaster di www.blackbloodysabbath.it ; stamattina mi sono accorto che mi hanno hackerato il sito!

Quello che posso dirvi che tutte le pagine in front-end non sono più raggiungibili ed al loro posto appare la firma degli hacker...invece il pannello di controllo funziona normalmente...anche il forum SMF (che funziona con database a parte) è a posto!Come posso fare per rimettere tutto a posto?
E, secondo voi, dove hanno trovato l'exploit?

$:-\$
I componenti di terze parti che ho installato sono EasyGuestBook, DocMan, OpenSef, ZoomMediaGallery e il modulo per Shinystat.
Grazie mille per l'aiuto...

napo · « **Risposta #1 il:** 14 Nov 2006, 16:07:44 »

Riesci a capire se hanno sovrascritto qualche file o solo fatto un deface?

Stai usando Joomla 1.5?

bobighorus · « **Risposta #2 il:** 14 Nov 2006, 16:09:02 »

scusa -napo- ho sbagliato categoria!!!non uso joomla 1.5 ma la 1.0.11...un errore da newbie...scusami...riesci a cancellare il thread così lo posto nella categoria adeguata?grazie e scusa...

.Andrea S. · « **Risposta #3 il:** 14 Nov 2006, 16:11:55 »

Per rimettere a posto ripristina un vecchio backup, ne hai uno vero?

Il problema sarebbe capire dove sta la falla..... per far si che non si ripeta.

bobighorus · « **Risposta #4 il:** 14 Nov 2006, 16:14:17 »

no, purtroppo non ho un backup!!!secondo voi il mio provider può darmelo?

.Andrea S. · « **Risposta #5 il:** 14 Nov 2006, 16:18:27 »

forse si, provare non nuoce.
Avevi anche JCE?

C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html

bobighorus · « **Risposta #6 il:** 14 Nov 2006, 16:21:02 »

Citazione da: -napo- - 14 Nov 2006, 16:07:44

Riesci a capire se hanno sovrascritto qualche file o solo fatto un deface?

Il defacing c'è sicuramente; sia l'homepage, sia tutte le pagine interne sono state sostituite.
Dò una controllata al ftp...
Ma secondo dov'è il bug, dato che la Joomla base è dichiaratamente sicura?
Non riesco a capire quali dei componenti installati, che ho scritto prima, non è sicuro...a meno che non sono passati dal template? ma mi sembra stranissimo...

bobighorus · « **Risposta #7 il:** 14 Nov 2006, 16:24:08 »

Citazione da: Andrea - 14 Nov 2006, 16:18:27

forse si, provare non nuoce.
Avevi anche JCE?

C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html

No, non avevo JCE... $:-\$

.Andrea S. · « **Risposta #8 il:** 14 Nov 2006, 16:24:28 »

leggi qui'

bobighorus · « **Risposta #9 il:** 14 Nov 2006, 16:27:56 »

Citazione da: Andrea - 14 Nov 2006, 16:24:28

leggi qui'

Si, effettivamente il tizio hacker corrisponde...ma credo che il tipo di attacco sia diverso...inoltre il backend funziona tutto.,..ma non è strano che il frontend sia partito e il backend no?

dario · « **Risposta #10 il:** 14 Nov 2006, 16:42:23 »

Ciao è capitato anke a me... sono dei ragazzini... dei lamers si diceva una volta...

Prova semplicemente ad uploadare via ftp il file index.php della root di joomla... e se nn c'è l'hai scarica la versione che avevi o anche l'ultima non la 1.5

Semplicemente hanno modificato il file index.php...
Tutto il resto è ok... come dimostra la possibilità di accedere all'administrator...

bobighorus · « **Risposta #11 il:** 14 Nov 2006, 16:44:44 »

Grazie mille dell'indicazione!

Spero che riesco ad aggiustare il tutto! Ma secondo te come sono entrati?

dario · « **Risposta #12 il:** 14 Nov 2006, 16:49:14 »

Ancora non conosco molto bene ne php ne apache... ma ad intuito credo ke sfruttino il fatto che register globals è on... sai l'indicazione ke da all'admin nel pannellone...

ma potrei anche dire una corbelleria...
cmq ancora non sono riuscito a trovare globals.php per fare questa modifica... mi sà ke sto file è a disposizione solo dell'hoster...

indagherò...

fammi sapere se il tentativo ke ti ho suggerito ha dato qualche risultato...

Bettinz · « **Risposta #13 il:** 14 Nov 2006, 17:50:51 »

il register global è un problema di sicurezza sempre e comunque..ecco perchè (secondo me) è meglio disattivarlo....probabilmente ci perdi qualcosa in compatibilità, ma guadagni molto in sicurezza..
ricorda che l'avviso si riferisce all'emulazione register globals di Joomla...il problema del register global definito nel php.ini viene indicato in rosso quando si installa joomla...

dario · « **Risposta #14 il:** 14 Nov 2006, 18:12:58 »

Ma quale file dobbiamo modificare? io non ho capito questo...
Php.ini ? Ma possiamo modificarlo se siamo in hosting?

grassie...

Bettinz · « **Risposta #15 il:** 14 Nov 2006, 18:24:31 »

no, se sei in hosting puoi chiedere al provider di cambiarti l'impostazione, ma non tutti lo fanno..
prova a leggere qui
http://forum.joomla.org/index.php/topic,93640.0.html

surfbit · « **Risposta #16 il:** 14 Nov 2006, 19:27:06 »

Se ti hanno modificato il file index.php come dice Dario farei un giro anche sui permessi!!

cos · « **Risposta #17 il:** 14 Nov 2006, 19:34:55 »

Citazione da: dario - 14 Nov 2006, 18:12:58

Ma quale file dobbiamo modificare? io non ho capito questo...
Php.ini ? Ma possiamo modificarlo se siamo in hosting?

grassie...

io su un hosting negli states mi è bastato inviare via ftp sotto administrator il file che ti allego non so se funziona anche con il tuo host . prova... chiedi....

[allegato eliminato da un amministratore]

Bettinz · « **Risposta #18 il:** 14 Nov 2006, 19:43:06 »

sto realizzando una guida che metterò nel forge riguardo questo argomento..c'è anche la soluzione di cos tra le possibili soluzioni

cos · « **Risposta #19 il:** 14 Nov 2006, 19:44:24 »

la consulatazione del forge sarà pubblica cioè di tutti

??