Buongiorno al gruppo.
Purtroppo due dei siti che ho costruito con joomla sono stati compromessi.
in entrambi i casi sui siti son presenti delle directory da me mai
uploadate, contenenti files che provocano il fenomeno di phising. Per la
precisione tale malware si spaccia per la nota carta di credito "cartasi", e
genera delle mail che chiedono le credenziali delle carte.
La directory malevola e' " cs " , presente nella root dei domini.
All'interno di " cs " vi sono immagini della compagnia cartasi, files di testo
contenenti indirizzi ip, un files di testo contenente le credenziali
illecitamente acquisite, ed altro. Per fortuna nessuna di queste credenziali appare
vera, tutti coloro che hanno risposto alle mail di phising han capito la truffa
ed han risposto con dati fasulli (ed anche qualche insulto :-( ).
In entrambi i casi i siti sono in hosting da aruba. La versione di joomla
compromessa e' 1.5.15, non recentissima quindi. Credevo di poter stare
tranquillo visto che
- la pass di accesso al dominio e' davvero molto complessa
- la directory
http://sito-compromesso/administrator e' protetta da pass
molto complessa (ma davvero molto complessa)
- la pass di amministrazione di joomla e' ancora piu' complessa ed elaborata
delle altre due
- l'utente administrator di joomla e' rinominato
- nei siti non sono presenti form di invio, quindi non e' possibile caricare nulla
viste queste precauzioni credevo di essere al sicuro, ed invece ci son cascata.
La domanda che vi pongo e' la seguente: con quale metodo (secondo voi) i malfattori
hanno avuto accesso al dominio? Reputo improbabile che abbiano bucato DUE account
di dominio. Ovviemente le credenziali di accesso son gelosamente custodite su chiavetta usb cifrata,
NON ho memorizzato le pass nei browser.
Adesso ho eseguito i seguenti accorgimenti:
- aggiornato a joomla 1.5.23
- cambiato le pass di dominio
. denuncia alla poizia postale,
- avvisato il provider
voi cos'altro fareste? non posso indicare i siti poiche' i titolari me lo hanno vietato.
Grazie
