Back to top

Autore Topic: Attacco e defacing su sito con joomla 2.5  (Letto 5007 volte)

Offline FrancoG

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Attacco e defacing su sito con joomla 2.5
« il: 05 Mag 2012, 02:53:42 »
Non ho controllato il mio sito per appena un giorno e stamattina aprendolo ho trovato un defacing da parte di un  hacker ...

Ho ripristinato l'index php e ripristinato il login di administrator di joomla.
Ho i backups di tutto. Il sito ora funziona ma mi pare ovvio che debba seguire altre procedure per verificare che non siano installati malware o altro. A dire il vero da google webmaster tools mi dice nessun malware rilevato ma non so quanto possa farci affidamento.

In ogni caso chiederei a qualcuno che ne sa di sicurezza cosa si deve fare in questi casi.
Ho letto i documenti sulle security checklist di joomla, ma volevo sapere nello specifico quale sono le misure prioritarie da intraprendere tra quelle citate nel security check.

A parte questo ho subito contattato il mio hosting provider, in quanto essendo su un hosting condiviso pensavo che fosse colpa del server.
mi hanno risposto che nel 99% dei casi il problema è da attribuire a:

1. una password facilmente cracckabile
2. un addon di joomla non aggiornato o che fa parte delle extensions vulnerabili di joomla
3. un virus su un pc infetto che posso aver usato per loggarmi al backend di joomla

allora il punto 1 credo di no la password dovrebbe essere sicura
2. non ho aggiunto addon da un mese e quelli che ho non rientrano tra le estensioni vulnerabili per cui lo escluderei (almeno che non ci sia qualche estensione che ancora non è riconosciuta come vulnerabile)
3. potrebbe essere che abbia usato un pc infetto ma non so bene come funzionino tali virus: ho pensato ad una specie di spyware che ruba le password di joomla. E' possibile una cosa del genere?

In pratica mi devo fidare di ciò che dice il servizio di hosting o secondo voi potrebbero avere responsabilità loro e si stanno nascondendo?
Cioè esiste un modo per verificare la causa  dell'hacking?

Detto questo altra questione è se mi posso fidare dei miei backup o potrebbero essere essi stessi hackerati?

Ho usato anche un file Forum Post assistant trovato su joomla.org forum di joomla in inglese che in pratica mi riporta informazioni sul sito. Se qualcuno sa usarlo per diagnosticare lo posso postare.

Nei logs di joomla ho trovato un file jcontroller.log.php con questo codice all'interno:

Codice: [Seleziona]
#<?php die('Forbidden.'); ?>
#Date: 2012-01-16 18:21:52 UTC
#Software: Joomla Platform 11.2.0 Stable+Modified [ NOME ] 27-Jul-2011 00:00 GMT 


Il nome NOME che compare all'interno del file corrisponde a quello dell'hacker è una coincidenza?

Il mio database non ha la comune estensione jos perchè l'ho cambiata alla prima installazione.

Per concludere aggiungo una cosa strana che anche qui non so se è una coincidenza o può essere pertinente.
Non mi loggavo al cpanel del mio hoster da qualche giorno. Oggi che mi sono dovuto loggare per forza per ripristinare l'admin password da phpmyadmin, ho visto che la grafica era cambiata, tra le skin che si possono scegliere ce n'era una diversa da quella che ero solito usare.

E' la prima volta che incappo in un problema del genere percui qualsiasi aiuto sarebbe davvero gradito.
Grazie dell'attenzione


p.s.: volevo solo aggiungere che ho letto la utilissima guida qui:  http://forum.joomla.it/index.php/topic,117151.0.html  e la seguirò, però vi sarei grato se qualcuno volesse rispondermi nello specifico a quello che ho descritto sopra, soprattutto se devo addebitare colpe al server provider e come posso verificare per bene che i miei backups non siano infetti.














« Ultima modifica: 05 Mag 2012, 03:23:41 da rosponius »

mau_develop

  • Visitatore
Re:Attacco e defacing su sito con joomla 2.5
« Risposta #1 il: 05 Mag 2012, 08:37:25 »
incomincia a sistemare, se leggi i post in qs sezione (e li segui) non trovi grandi problemi.

M.

Offline FrancoG

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Attacco e defacing su sito con joomla 2.5
« Risposta #2 il: 05 Mag 2012, 15:04:04 »
incomincia a sistemare, se leggi i post in qs sezione (e li segui) non trovi grandi problemi.

M.


Ok ma quello che non riesco a capire è da dove è venuto il problema. Mi sembra abbastanza fondamentale x capire se devo cambiare hoster.
E' possibile che sia stata colpa di un virus sul mio computer o ci sono colpe che potrebbero essere del server?
Ed: è + sicuro se rimetto i miei backups o quelli che hanno loro sul server?
Aggiungo anche che ho un altro sito web fatto con joomla 1.5 su un altro server che gestisco dagli stessi pc, che uso per gestire quello in 2.5.
Questo può escludere il fatto che abbia a che vedere con un mio pc infetto?
« Ultima modifica: 05 Mag 2012, 15:20:18 da rosponius »

Offline FrancoG

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Attacco e defacing su sito con joomla 2.5
« Risposta #3 il: 05 Mag 2012, 15:49:53 »
Aggiungo un aggiornamento.
Ho scansionato il mio sito con un servizio antivirus online che cerca nei siti web.
Il mio sito era pulito ma sullo stesso server (sono su hosting condiviso) pare ci siano due siti web infetti.
Almeno così dice l'antivirus

Offline FrancoG

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Attacco e defacing su sito con joomla 2.5
« Risposta #4 il: 06 Mag 2012, 19:54:28 »
Sto procedendo come da guida e ho riletto anche le security checklist di joomla.
qui: [size=78%]http://docs.joomla.org/Security_and_Performance_FAQs#Help.21_My_site.27s_been_compromised._Now_what.3F[/size]


Al punto 3 parla di uno script per vedere gli ultimi file modificati ma non c'è + il link.
Qualcuno mi sa suggerire qual'era lo script oppure uno simile.
Ho cercato anche su google mi dà un sacco di risultati ma non proprio quello che cerco.
Ho provato anche ad usae ssh per mettere direttamente i comandi senza script ma non funziona ssh quindi lo script farebbe al caso mai

Offline FrancoG

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Attacco e defacing su sito con joomla 2.5
« Risposta #5 il: 07 Mag 2012, 01:12:35 »
Ho trovato il backdoor sul sito web (non sul mio pc).
Un file sospetto era infettatto con il virus php/WebShell.A.1 .


Qualche suggerimento su cosa fare? Basta eliminarlo?
Idee sulla provenienza visto che non veniva dal mio pc potrebbe essere colpa del server?






 



Web Design Bolzano Kreatif