Mi hanno appena Hackerato il portale

[tanakkas]

Mi hanno appena Hackerato il portale.. 2 turchi...
ieri appena avevo aggiornato all'ultima versione..
come componente ho solo il Bigape backup..
il portale è su da 10 gg appena.. non capisco dove stia tutto quel divertimento...
ma sbaglio o con la 12 dovevamo essere un pò più sicuri??

ciao tan

[Bettinz]

bigape backup sicuro che non sia bucato (la versione sul sito è del 2005, parecchio vecchia  )?
le impostazioni del server han per caso register_globals su ON?

non dare colpe a Joomla in se, la 1.0.12 è molto sicura..

[bobighorus]

Ciao! Anche a me è successo in passato; se fai una ricerca nel forum trovi i post relativi. Comunque il problema è nel settare bene i permessi di file e cartelle. Cmq descrivi meglio cosa è successo!

[tanakkas]

..appena installato.. neanche il tempo di cambiare permessi o altro..
qui si trovano tutti i componenti con possibile falle
http://forum.joomla.org/index.php/board,346.0.html
bigApebackup è una fra quelli.. (ovviamente ho aggiornato tutto)
non ho ancora letto i logs per capire da dove sono entrati.. nel caso vifarò sapere..
però pensavo che appena installato e con un solo componente nonavessi di che preoccuparmi.. proprio perchè sapevo che alemeno fino a ieri la 12 fosse molto sicura..

si il server è su on.. e non riesco a farmelo cambiare.. cmq ho visto che utilizzando .htaccess si può tentare di "ingannare" il valore.. solo se.. etc etc.. come al solito sono più i se dei ma...   pazienza.. ho ripristinato tutto... ma ti dirò a parte cambiare tutte le psw e farle cambiare dal providere.. (si è fastidioso) la cosa mi ha divertito.. e in home ho messo pure un saluto ai miei amici Turchi..

Dato che ci sono e visto riporto la mia esperienza..
installare, controllino dei componenti con problemi sul link in alto, htaccess e poi chiudere tutto, permessi e porte.. anche di cosa..

ciao

tan

[promide]

bigape backup sicuro che non sia bucato (la versione sul sito è del 2005, parecchio vecchia  )?
le impostazioni del server han per caso register_globals su ON?

non dare colpe a Joomla in se, la 1.0.12 è molto sicura..

---------------------------------------------------------------
posso chiedere cosa devo cambiare visto che a me nonostante ho effettuato i cambiamenti mi esce loggandomi da amministratore :
"...........

Le seguenti impostazioni PHP Server Security Settings non sono ottimali per la Sicurezza raccomandiamo quindi di modificarle:

    * Impostazione Joomla! RG_EMULATION è `ON` invece di `OFF` nel file global.php
      `ON` predefinito per ragioni di compatibilità

Prendere visione del post nel forum Official Joomla! Server Security per maggiori informazioni."
eppure dall'allegato....
sembra avere settato tutto in OFF...


bho come risolvere il problema ?


** codice rimosso; allegare il file **

[surfbit]

..appena installato.. neanche il tempo di cambiare permessi o altro..
qui si trovano tutti i componenti con possibile falle
http://forum.joomla.org/index.php/board,346.0.html
bigApebackup è una fra quelli.. (ovviamente ho aggiornato tutto)
non ho ancora letto i logs per capire da dove sono entrati.. nel caso vifarò sapere..
però pensavo che appena installato e con un solo componente nonavessi di che preoccuparmi.. proprio perchè sapevo che alemeno fino a ieri la 12 fosse molto sicura..

Vi ricordo che possono essere molte i fattori che possono influire su un attaccho. Hai controllato il tu pc se è esente da trojan. Basta uno di quelli un pò insidioso. Ti colleghi sempre dal tuo pc? Primo consiglio: cambiare tutte user e pass.

[tanakkas]

ok.. controllato i log...
hanno usato l'exploit del babackup.. 
è da ridere.. (cmq me lo son meritato.. )
posto il link.. PER CHI USA IL COMPONENTE DELLA BigApe Backup
AGGIORNATELO

Full Name:         BigApe Backup
Short Name:      com_babackup
Version:              All Versions.
Fix:                       A patch is available from the developer. See this post.
References:        http://secunia.com/advisories/21574/
http://forum.joomla.org/index.php/topic,87736.0.html

Topic originale http://forum.joomla.org/index.php?topic=100145.0

si proprio lui.. hanno usato un sito d'appoggio e hanno provato in tutti i modi di entrare.. (ci son riusciti) hanno eseguito
http://www.xxxx.com/templates/cmd.txt?/administrator/components/com_babackup/classes/PEAR.php on line 13 e mi hanno bucato.. (fra parentesi hanno cambiato pure i permessi di molte cartelle (cambiando il gruppo da quello predefinito ad apache, con il risultato che non posso cancellare nulla.. , senza che me lo faccia l'amministratore del server)
vi dico la verità... non lo so se continuerò a usarlo pur essendoci la patch...

un consiglio.. ho anche un forum smf.. che dite cancello pure quello..?? potrebbero aver "corrotto" anche i dati del forum..??

tan

posso chiedere cosa devo cambiare visto che a me nonostante ho effettuato i cambiamenti mi esce loggandomi da amministratore

hai controllato di aver il file global.php scrivibile?? hai fatto la modifica giusta?? devi aprire il file con un editor (è sufficiente anche il notepad) e seguire le istruzioni nel file su come modificare lo stato, e poi riupparlo nel tuo spazio sovrascrivendolo..
leggiti questo..
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11-3.html

[surfbit]

Avevi fatto il back-up prima dell'intrusione?

[tanakkas]

  yessss....
almeno quello....
tan

[surfbit]

Bene buona usanza!!  Quindi puoi cancellare tutto, e ripristinare il back up. Come ti ho detto cambia tutte le user e pass anche del forum.

[proview]

raga riguardo alla permessi da come si fà e in particolare queli sono?

grazie e ciao

[tanakkas]

^_^ oltre alla psw del portale suggerisco di far cambiare anche quelle del database e del ftp, nonchè quelle della posta..
che dal mio errore qualcuno ne tragga giovamento.. 

per i permessi puoi usare il tuo programma ftp, o in alternativa bachend del portale/configurazione generale/ server

attento che alcune cartelle devo essere scrivibile per installare componenti, moduli, etc etc

 ;)tan

[bobighorus]

raga riguardo alla permessi da come si fà e in particolare queli sono?

grazie e ciao

se fai una ricerca nel forum trovi già spiegato questo argomento!