Ahmdosa Hacker mi provoca

[FreuxBang]

Che devo fare con Ahmdosa? Oggi mi ha lasciato in un sito di un comune una bella schermata nera con le scritte verdi, è riuscito a modificare l'index della root . Quindi penso che è riuscito ad ottenere i dati ftp, e qui non capisco come ha fatto, dopo ha modificato tutte le password degli account super administrator.
Non avendo un beckup ciò che ho fatto è stato:
1) Entrare nel database e modificare tutti gli account username e password.
2) Scaricare database e i tutti i file e cartelle del sito nel mio MAC, cosi sono sicuro che Ahmdosa non continua a danneggiare il contenuto del sito.
3)Sto richiedendo al mio hosting di cambiare i dati ftp e database.
4) Aggiorno il cms dalla 1.5.22 alla 1.5.23 .


Mentre non so come muovermi per quanto riguarda l'estenzioni.
quella più importante è l'albo pretorio creato da Vales, che sicuramente adesso ci sarà una versione nuova.
Per adesso pur avendo sistemato l'index.php il sito si mostra con una bella pagina bianca.
Mi chiedo io come posso tenere sotto controllo 50 o 100 siti per quanto riguarda aggiornamenti e robe varie, quando uscirà la versione 1.5.24 dovrò aggiornarli tutti, altrimenti rischio attacchi haker.

Il sito è questo http://www.comune.bolognetta.pa.it/ e come si può vedere il design del sito è un po chiaro, tendente al bianco.

[giusebos]

Joomla alla versione attuale la 1.5.23 non ha nessuna vulnerabilità, se avevi installato una versione precedente, non voglio rigirarti il coltello nella ferita, ma è come lasciare la porta di casa aperta e lamentarsi perchè ci hanno rubato tutto.

Se invece questo hacker ha i dati del ftp avrebbe compromesso qualsiasi sito realizzato in qualsiasi tecnologia.

Nel frattempo procurati i log di accesso attraverso il tuo provider e fai una denuncia alla polizia postale, qualche volta si scoprono cose interessanti.

Il backup è fondamentale per arginare queste evenienze, ma se non c'è l'hai inizia a pensare che è indispensabile.

[FreuxBang]

Del fatto che si deve sempre aggiornare joomla all'ultima versione sono d'accordo, ma se uno tiene più di 50 siti, a me personalmente viene difficile aggiornarli tutti, e non solo, avere anche l'estenzioni aggiornate. Ci vorrebbe veramente una persona che si occupa solo di questo. Cmq adesso sono riusciuto a visulaizzare il sito, Ahmdosa aveva modificato pure l'index del template mettendogli un apostrofo, e quindi nn caricava nulla. Cmq grazie tante

[giusebos]

Purtoppo l'aggiornamento è una cosa che a prescindere da quanti siti hai devi fare per non avere problemi più grandi dopo che te li hanno bucati.......

Quello che fai è un discorso strano, se il tuo lavoro e gestire questi 50 siti immagino che ti organizzerai per farlo.
E' solo un problema logistico e qui nessuno ti può aiutare.

[mmleoni]

è molto più facile che sia una vulnerabilità di una estensione piuttosto che un brute force sull'ftp. mi auguro comunque che tu non abbia attivo l'ftp di joomla se no ora l'hacker conosce le pw.

nei miei siti uso questo:

http://extensions.joomla.org/extensions/access-a-security/site-security/12731

lo ho scritto io; a me e molti altri ha salvato il sito parecchie volte a fronte di sqli delle estensioni.

ciao,
marco

[mmleoni]

ps: se mi fai avere un link (via pm) per scaricare i log di apache te ne sarò grato, oltre a dirti se sono entrati da li...

ciao,
marco

[jeckodevelopment]

quoto giusebos, sei tu che devi organizzarti per svolgere le tue mansioni.
Ad ogni modo, è fondamentale aggiornare Joomla e tutte le sue estensioni all'ultima versione disponibile per evitare attacchi e compromissioni.

Dovresti (imho) riservare una cura particolare e costante ai siti della P.A. in quanto generalmente svolgono un servizio pubblico che dovrebbe essere sempre attivo e funzionante.


Per venire incontro alla "questione aggiornamenti" Joomla 1.6 e 1.7 introducono un sistema automatico di aggiornamenti che si occupa di mantenere il core e tutte le estensioni all'ultima release disponibile. Però sei sempre tu che dall'amministrazione devi avviare il processo di controllo ed aggiornamento.

P.S. io sono un grande utilizzatore dell'estensione che ha consigliato (e scritto) mmleoni!

[FreuxBang]

il plugin consigliato da mmleoni l'ho scaricato, installato e attivato nel sito, ma non ho modificato nessuna option all'interno del plugin, perchè teoricamente non ne capisco niente. Una domanda che voglio fare è: Le notifiche di attacchi haker mi arriveranno tramite email, ma quale email? l'email generale del sito ovvero quella impostata su configurazione email ?

[jeckodevelopment]

a quella che imposti nel plugin:

Codice: [Seleziona]

Mail to notify attack

[mmleoni]

ciao,
per prima cosa devi attivare il report via mail impostando Send Email Alert on injection/inclusion a Yes, poi inserisci la mail cui spedire il report. se non specifichi una mail viene usata quella di default del sito.

ps: come tutti i plugins, anche questo deve essere attivato esplicitamente: non basta installarlo.

ciao,
marco