Sito hackerato

[Simodm]

Il mio sito www.futuro-immobiliare.com
è stato hackerato per la seconda volta da un certo ghost.

Qualcuno di voi ha avuto simile esperienza ultimamente?

[mau_develop]

http://forum.joomla.it/index.php/topic,117151.0.html

M.

[Simodm]

Grazie mille!
La leggerò con moltissima attenzione,
ancora grazie.

[spotlessmind1975]

ciao Simodm, e buongiorno!

Oltre all'ottima guida di mau_develop, per i prossimi tentativi di attacco potresti tutelarti ancora di più adottando qualche forma di sicurezza proattiva sugli accessi. Per esempio, utilizzando dei servizi come IPSafer.com oppure Project Honeypot. Soprattutto, il primo è molto semplice da integrare: con un semplice "cut&paste" il sito diventa più robusto rispetto ai server riconosciuti nel passato come "ostili".

a presto!

[carlodamo]

Il mio sito www.futuro-immobiliare.com
è stato hackerato per la seconda volta da un certo ghost.

Qualcuno di voi ha avuto simile esperienza ultimamente?

posso chiedere? la username del superadmin era admin? Oppure corta? E la password? di quanti caratteri?
E ancora, la username e la password dell'accesso FTP era corte o lunghe?

Ciao

[Carlo86]

Buon giorno a tutti, oggi per la seconda volta il mio sito è stato defacciato.
Dopo più di due anni di utilizzo di Joomla oggi sono un pò ricreduto su di esso, ho già provato ad adottare diversi tipi di sicurezza per cercare di rendere il sito "meno hackerabile", versione joomla aggiornatissima 1.5.22 con incluso plg jsecure, user admin cancellato e passw parecchio complicate; ma tutto ciò sembra non bastare.
Come ben sapete per defacciare viene adottato un metodo che non tende a violare le passw ma semplicemente a sostituire tutti i file index/home ecc.
Adesso con grande rammarico vi chiedo...conoscete un metodo per evitare questo??perchè la mia unica e ultima soluzione è quella di abbandonare Joomla.
Grazie a tutti e non mi vogliate male per questa discussione, ma di tempo me ne hanno fatto perdere parecchio!!

[alexred]

ciao Carlo86,
sul tuo sito hai anche qualche estensione esterna installata?
Oltre a Joomla hai caricato sul sito altri script?
Dopo che sei stato attaccato la prima volta hai resettato completamente il tuo spazio web?

[mau_develop]

Capisco che non sono cose simpatiche e spesso alterano il sistema nervoso, impedendoci di ragionare....
---------------------------------------------------------------------------------------------------
se quello che tu dici fosse solo un minimo vero ci sarebbe un'intera comunità con i tuoi problemi, visto che l'ultima cosa che manca è il pischelletto di turno che ti smanaccia il sito.

la mia unica e ultima soluzione è quella di abbandonare Joomla
-----------------------------------------------------------------------------------------
e sicuramente risolveresti i tuoi problemi, ma non perchè non usi più joomla, ma semplicemente perchè saresti obbligato ad installare un cms aggiornato, installando ogni cosa aggiornata e non avendoci ancora messo le mani magari a modificare qualcosa..... ma in queste condzioni anche jommla è sicuro

Come dice Alex, rivedi un po' ciò che hai fatto, sicuramente qualcosa ti è scappato.

M.

[Carlo86]

Ragazzi io in ogni caso vi ringrazio per le risposte, comunque sicuramente il sistema nervoso gioca brutti scherzi...ma tornando al mio problema adesso sarò più dettagliato; ovviamente ho parecchi componenti e plg installati, in questi giorni sto proprio controllando tutti i possibili aggiornamenti di ognuno, stamane mi sono arrivate le nuove configurazioni per aggiornare anche il server del mantainer a cui mi appoggio.
Alex rispondendo alla tua domanda..dopo che sono stato attaccato la prima volta ho cambiato tutte le passw, quelle del sito,ftp e mysql anche PhpMyadmin.
Adesso vi dico un pò che componenti ho installati o meglio vedete un pò gli screenshot in allegato(per ultimo il danno che mi hanno arrecato ovvero la sostituzione di tutte le pag index), se volete dopo cena vedrò di mettere anche lo screen dei plg.
Adesso il sito è offline e non pubblico il nome dominio per evitare di spammare ed inoltre perchè il proprietario mi ha dato delle disposizioni un pò rigide,comunque non appena lo rimetterò in piedi in forma privata vi segnalerò il nomedominio.
Ancora Grazie a tutti e scusatemi per lo sfogo!!

[allegato eliminato da un amministratore]

[allegato eliminato da un amministratore]

[mau_develop]

ma hai letto quello che ho linkato a simodm? (2° post)

M.

[Carlo86]

è stata la prima cosa che ho fatto quando mi sono loggato sul forum!!

[alexred]

controlla quindi se tutte quelle estensioni che hai installato erano aggiornate all'ultima versione disponibile.
Ti riporto quanto scritto da molti mesi nella homepage di Joomla.it:
Attenzione: L'installazione di estensioni di terze parti potrebbe compromettere la sicurezza del tuo sito. Aggiornare Joomla! non significa che anche le estensioni di terze parti vengano aggiornate.

Mantieni Joomla sempre aggiornato all'ultima versione disponibile per aumentare la sicurezza del tuo sito, ed esegui gli aggiornamenti anche di tutte le estensioni installate.
E' consigliato disinstallare tutte le estensioni che non utilizzi per evitare problemi di sicurezza.
Disabilitare le estensioni non equivale a disinstallarle, quindi una estensione non aggiornata e disabilitata è potenzialmente pericolosa, perciò se ne  consiglia la disinstallazione.

Controlla costantemente la lista di estensioni vulnerabili presente su Joomla.org: http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct

[Carlo86]

Ok Grazie mille alex seguirò le tue indicazioni, hai più che ragione sulle estensioni di terze parti ma capirai che a volte si è costretti ad installare un comp già pronto per questioni di semplicità e tempi!
ma dopo aver controllato tutte le estensioni posso in qualche modo testare la vulnerabilità del mio sito prima che venga fatto da qualcun'altro??aspetto l'aggiornamento del server e poi lo rimetterò online magari ti segnalo il sito.


p.s. ovviamente non mi aspetto un tutorial su come hack un sito web creato con joomla!! vorrei sapere solo se possibile farlo in modo lecito senza troppo tempo da perdere o magari se il metodo non è pubblicabile potresti anche verificare tu se la cosa non ti occupa troppo tempo.
Grazie

[Carlo86]

Alex dopo un'ora di pura scansione sul sito che mi hai segnalato ho rilevato almeno 6 tra plg e componenti potenzialmente pericolosi... 

[Simodm]

... quasi quasi mi vergogno per non aver risposto in tempo ...
le mie user e pass effettivamente sono un pò cortine ...
come posso cambiarle restando super administrator?

I componenti installati sul mio Joomla sono:
Estate Agent e Joomfish, ho controllato sulla lista e non mi sembra siano presenti ... forse perchè uno dei due non è una risorsa gratuita?

[Carlo86]

Raga, non vorrei essere troppo iettatore ma sembra che il mio problema sia stato risolto, ho aggiornato tutti i mod-comp e plg e tutto ciò che non ho potuto agg l'ho rimosso!
Se qualcuno volesse testare la sicurezza del mio sito mi contatti in pvt che incollo il mio link.
Grazie cmq a tutti per la collaborazione.
Dimenticavo ho anche installato RSFirewall

[m.davide82]

Ti consiglio di togliere il nome del riferimento commerciale.

Ottimo componente secondo me, il migliore da quel punto di vista.

Anche io ieri purtroppo sono stato colpito. Fortuna avevo il mio bel backup e dopo un po' di conclusioni, anche se non ne sono pienamente sicuro, il problema potrebbe esser venuto da jsecure che ho prontamente disinstallato. Staremo a vedere.