Attacco Hacker su sito.

[musicvision]

Al mio ritorno delle vacanze, vado casualmente su un sito che ho creato per un concorso e mi ritrovo questo bello schifo sulla pagina...
http://andreasordano2.altervista.org/Joomla_1.7.3_ita-Stable/

qualcuno sa come aiutarmi?! E' URGENTISSIMO!

[jeckodevelopment]

Cortesemente evitiamo di diffondere il  panico scrivendo frasi del tipo:

La sicurezza di Joomla 1.7 fa acqua! Attacco Hacker su sito.

avevi l'ultima versione di Joomla?
avevi l'ultima versione di tutte (e dico tutte) le estensioni installate?

[musicvision]

SI. Mi scuso per la cattiva condotta, ma è la pura verità.

In ogni caso ho trovato la parte "infettata" e annientato l'attacco... tuttavia continuo a non capire come abbia fatto ad iniettare una riga di codice in index.php

EDIT:

<script>alert('U are pwn3d, faggot. Joomla is only for noobs ')</script>

era una cosa del genere

[jeckodevelopment]

le iniezioni di codice avvengono a causa di estensioni vulnerabili installate o di un cattivo settaggio del server, a livello di impostazioni di sicurezza e di permessi.
prima però di dare la colpa al server (e quindi a chi l'ha configurato, il fornitore dell'hosting in tal caso), servirebbe verificare se disponi di tutte le ultime versioni dei software installati.
Joomla 1.7.3 al momento è sicura, ma considera che ogni estensione installata, potenzialmente ne estende la superficie attaccabile.
E' scontato che, se ho installata una versione obsoleta o vulnerabile di un'estensione, gli effetti dell'attacco si ripercuotono su tutto il sito e si possono verificare diverse tipologie di attacco (in base alla vulnerabilità), dalle SQL Injection che iniettano codice nel database, alle LFI, che caricano file sul server (di solito delle shell che consentono di compromettere la sicurezza dei tuoi vicini di hosting).
Ti consiglio di consultare questo topic:
http://forum.joomla.it/index.php/topic,117151.0.html

[musicvision]

Grazie per le delucidazioni.. ma come hanno fatto a trovare il mio indirizzo? Non è indicizzato nei motori di ricerca

[jeckodevelopment]

purtroppo ci sono dei sistemi automatici (bot) che cercano delle stringhe precise ed effettuano attacchi a ripetizione... non prenderla come un "attacco personale" contro te o il tuo sito, ma piuttosto considera che si tratta di attacchi automatizzati tesi a dimostrare la vulnerabilità di un componente o di un CMS.
Ripeto, una cosa fondamentale è disporre sempre delle ultime versioni di un software (questo vale sia online che offline).
Un altro consiglio che posso darti è quello di installar un plugin: Marco's SQL Injection, un tool che protegge la tua installazione di Joomla da attacchi SQL Injection e LFI.
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

[musicvision]

Grazie mille... sono arrivato a quota 3 attacchi.

Ora installo questo plugin.

Secondo te è necessario fare una denuncia alla polizia postale?

[alexred]

ciao musicvision,
no ho ben capito se hai già risposto alla domanda di jeckodevelopment sulla possibilità che tu abbia installato delle estensioni esterne su quella installazione di Joomla,
se si quali?

[musicvision]

Alexred ho lasciato un messaggio privato

[alexred]

ma hai mai installato delle estensioni su quel sito si o no?
Vedendo così a occhio c'è community builder e phoca gallery che già sono pericolosetti se non mantenuti aggiornati, poi xmap e cosa altro hai installato? E quali versioni?

[musicvision]

Le ultime versioni, ottimizzate per Joomla 1.7