Non ho controllato il mio sito per appena un giorno e stamattina aprendolo ho trovato un defacing da parte di un hacker ...
Ho ripristinato l'index php e ripristinato il login di administrator di joomla.
Ho i backups di tutto. Il sito ora funziona ma mi pare ovvio che debba seguire altre procedure per verificare che non siano installati malware o altro. A dire il vero da google webmaster tools mi dice nessun malware rilevato ma non so quanto possa farci affidamento.
In ogni caso chiederei a qualcuno che ne sa di sicurezza cosa si deve fare in questi casi.
Ho letto i documenti sulle security checklist di joomla, ma volevo sapere nello specifico quale sono le misure prioritarie da intraprendere tra quelle citate nel security check.
A parte questo ho subito contattato il mio hosting provider, in quanto essendo su un hosting condiviso pensavo che fosse colpa del server.
mi hanno risposto che nel 99% dei casi il problema è da attribuire a:
1. una password facilmente cracckabile
2. un addon di joomla non aggiornato o che fa parte delle extensions vulnerabili di joomla
3. un virus su un pc infetto che posso aver usato per loggarmi al backend di joomla
allora il punto 1 credo di no la password dovrebbe essere sicura
2. non ho aggiunto addon da un mese e quelli che ho non rientrano tra le estensioni vulnerabili per cui lo escluderei (almeno che non ci sia qualche estensione che ancora non è riconosciuta come vulnerabile)
3. potrebbe essere che abbia usato un pc infetto ma non so bene come funzionino tali virus: ho pensato ad una specie di spyware che ruba le password di joomla. E' possibile una cosa del genere?
In pratica mi devo fidare di ciò che dice il servizio di hosting o secondo voi potrebbero avere responsabilità loro e si stanno nascondendo?
Cioè esiste un modo per verificare la causa dell'hacking?
Detto questo altra questione è se mi posso fidare dei miei backup o potrebbero essere essi stessi hackerati?
Ho usato anche un file Forum Post assistant trovato su joomla.org forum di joomla in inglese che in pratica mi riporta informazioni sul sito. Se qualcuno sa usarlo per diagnosticare lo posso postare.
Nei logs di joomla ho trovato un file jcontroller.log.php con questo codice all'interno:
#<?php die('Forbidden.'); ?>
#Date: 2012-01-16 18:21:52 UTC
#Software: Joomla Platform 11.2.0 Stable+Modified [ NOME ] 27-Jul-2011 00:00 GMT Il nome NOME che compare all'interno del file corrisponde a quello dell'hacker è una coincidenza?
Il mio database non ha la comune estensione jos perchè l'ho cambiata alla prima installazione.
Per concludere aggiungo una cosa strana che anche qui non so se è una coincidenza o può essere pertinente.
Non mi loggavo al cpanel del mio hoster da qualche giorno. Oggi che mi sono dovuto loggare per forza per ripristinare l'admin password da phpmyadmin, ho visto che la grafica era cambiata, tra le skin che si possono scegliere ce n'era una diversa da quella che ero solito usare.
E' la prima volta che incappo in un problema del genere percui qualsiasi aiuto sarebbe davvero gradito.
Grazie dell'attenzione
p.s.: volevo solo aggiungere che ho letto la utilissima guida qui:
http://forum.joomla.it/index.php/topic,117151.0.html e la seguirò, però vi sarei grato se qualcuno volesse rispondermi nello specifico a quello che ho descritto sopra, soprattutto se devo addebitare colpe al server provider e come posso verificare per bene che i miei backups non siano infetti.
