[Risolto] Joomla! 2.5.6 hacked 3 volte in un mese!

[andrus9000]

Cari Amici, come da titolo ho questo fastidioso hacker turco che mi sta tormentando...

Ho letto il post iniziale di Mau (che ringrazio) e anche altri prima di scrivere ma credo che devo farlo perchè almeno parte dei passaggi indicati per me non sono applicabili (in quanto è un sito in costruzione e non ha ancora senso ripristinare un back up ed è l'ultima versione di Joomla).

L'anomalia (almeno credo) è che si tratta di una nuova installazione di Joomla 2.5.6, senza alcuna estensione (solo quelle di default), con file .htaccess + register globals off + sito offline + template predefinito! Eppure continua ad entrare e fare danni... cose turche!!!

La prima volta mi ha cambiato le password, la seconda mi ha distrutto mezzo sito ed ha inserito virus e codice malefico e la terza mi ha cambiato solo le credenziali di accesso (credo/spero).


Ho cancellato l'intero sito, il db, cambiato le password, ma niente... riesce sempre ad entrare...


A questo punto non so più cosa fare, ho a disposizione un log (nel cpanel), c'è qualcuno che mi può aiutare a capire come ha fatto ad entrare e quindi dove intervenire?


Ecco parte del log:

Codice: [Seleziona]

217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
Vedo che il 18 luglio l'ip incriminato (che è localizzato a Istanbul) ha richiesto (o postato - scusate l'ignoranza in materia di sistemi) la pagina index.php della directory "administrator" per ben 4 volte in un secondo... ed è andato avanti così per circa un'ora... stava forse utilizzando un programma fino a quando non è riuscito ad entrare?

Poi sempre dal log vedo che è stata richiesta la pagina:

Codice: [Seleziona]

66.249.72.183 - - [31/Jul/2012:14:10:28 +0200] "GET /index.php/component/users/?view=reset HTTP/1.1" 503 2790 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
ma come dice anche il log questo dovrebbe essere google che effettua la scansione delle mie pagine giusto? (anche se mi sembra strano il fatto che google richieda proprio questa pagina che è utilizzata dagli hackers per resettare la password e di conseguenza entrare nel sistema)...

Credo sia importante riuscire a capire come riescono ad entrare.

Ogni altro consiglio e suggerimento è ben accetto.

Scriverò all'hosting provider di nuovo (hanno impostato register globals su off solo in seguito a mia segnalazione, dopo il secondo attacco).

Alcune informazioni supplementari che potrebbero essere utili:

Ho un piano di hosting virtuale con le seguenti specifiche:

Apache version 2.2.22
PHP version    5.3.10
MySQL version    5.0.95

Grazie a tutti e buon lavoro 

[jeckodevelopment]

ciao la situazione non è delle migliori a quanto pare.
Quando dici di aver cambiato le password di che password parli?
Hai completamente resettato/ripulito lo spazio web?
Hai controllato che non esistano dei cron-job (cioè delle operazioni pianificate) che ogni tanti minuti provino a lanciare qualcosa?
Hai cambiato tutte le password? (intendo FTP, pannello di controllo, database e tutto il resto)

[andrus9000]

Ciao Jecko,


prima di tutto grazie per il tuo aiuto!



Quando dici di aver cambiato le password di che password parli? Ho creato nuove password per il db e per Joomla (il nome utente del db è rimasto uguale).


Hai completamente resettato/ripulito lo spazio web? Si, ho cancellato tutti i file nella directory principale (e ovviamente tutte le sottocartelle, cancellato completamente il db e reinstallato Joomla ultima versione su uno spazio web immacolato (almeno credo...)


Hai controllato che non esistano dei cron-job (cioè delle operazioni pianificate) che ogni tanti minuti provino a lanciare qualcosa? questo no l'ho fatto, ci provo ora!

Hai cambiato tutte le password? (intendo FTP, pannello di controllo, database e tutto il resto) Ho cambiato quella del db e di Joomla solo, a dire il vero l'ftp e il pannello di controllo no (anche perchè nel pannello ho una funzione per vedere l'ip dell'ultimo accesso e risulta essere sempre il mio, da qui posso capire se qualcuno è entrato nel pannello di amministrazione)

Proverò a controllare le operazioni pianificate...


Anche tu da quello che ho scritto hai notato che la situazione non è delle migliori vero? In realtà posso capire che sistemi mal configurati possono dare luogo a vulnerabilità, ma senza estensioni/plugin/template di terze parti, con l'ultima versione di joomla e register globals off pensavo di poter dormire un po' meno agitato (ormai la parola tranquillo l'ho rimossa dal mio vocabolario )


PS: Non vorrei che siano riusciti ad entrare ancora più su di quanto penso, immagino che solo il provider può cercare di capire se si sono limitati alla directory del mio sito o peggio... 


A presto, grazie ancora! 

[tomtomeight]

Guarda che il sito non è la sola porta da cui un hacker può entrare, considera pure il server ed eventuali siti condivisi su di esso. Inizia col chiedere lo spostamento su un altro server.

[mau_develop]

secondo me, a parte il racconto apocalittico, è capitato ciò che è capitato agli altri 6400....

..distrutto mezzo sito che vuol dire..vedevi tutto a metà? qualcosa non funzionava? da cosa deduci che ha cambiato le password del db? ...da quel view reset? ..mica funziona...

Guarda gli altri siti sul server come stanno e visto che era un joomla pulito sovrascrivi tutto e sei a posto... previa scansione av

M.

[jeckodevelopment]

appunto, come diceva tomtomeight,
il problema potrebbe essere più in alto.

Il fatto che tu sia su un VPS dovrebbe metterti al riparo (relativamente) da errori di tuoi "coinquilini".
Chiedi lumi al tuo provider, potrebbe esserci stato un attacco ad un livello superiore (al server)

[andrus9000]

Ciao Tomtom e grazie anche a te,


credo che finirò per osservare il tuo consiglio, tra l'altro essendo ancora vuoto il sito non sarà una migrazione difficile... volevo però fare una considerazione:


dopo il secondo attacco ho cancellato tutti i file dal server ed ho inserito una pagina statica "in costruzione" (index.html - unica pagina presente sul sito) che non è stata toccata per un po' di tempo... dopo aver installato joomla invece il problema si è presentato di nuovo, per questo sono portato a pensare che si tratti di una forma di vulnerabilità in Joomla più che del server o altri siti... anche se potrebbe solo essere una coincidenza... mmmh... proverò a chiedere il cambio di server 


A presto e grazie ancora

[jeckodevelopment]

su Joomla 2.5.6 al momento non esistono gravi vulnerabilità note.

[andrus9000]

Jecko scriverò al provider per chiedere informazioni.


Mau:

..distrutto mezzo sito che vuol dire..vedevi tutto a metà? qualcosa non funzionava? da cosa deduci che ha cambiato le password del db? ...da quel view reset? ..mica funziona...

Mi riferivo al secondo attacco, mi hanno cancellato la directory administrator, sovrascritto e modificato cartelle e file con aggiunta di virus o comunque file malefici... forse con il reset ero fuori strada, avevo visto un tutorial su come poter hackeare la password da amministratore... 

Guarda gli altri siti sul server come stanno e visto che era un joomla pulito sovrascrivi tutto e sei a posto... previa scansione av

Ma... sovrascrivere o cancellare tutto ed eseguire un'installazione pulita senza prendere altre precauzioni non significa forse consegnare il sito di nuovo in mano ai turchi???

Proverò a chiedere spiegazioni al provider e magari un cambio di server... per vedere gli altri siti su quel server credo che dovrò chiedere sempre al provider (visto che io non li conosco)...


Grazie ancora a tutti

[mau_develop]

 eseguire un'installazione pulita senza prendere altre precauzioni
-------------------------------
 la 2.5.6 non ha vulnerablità note (..o quasi)... se passano dal server o usando qualche altro sito e arrivando al tuo perchè il server è configurato male... tu nn ci puoi fare nulla.

 in mano ai turchi???
-----------------------------
può tranquillamente essere il tipo del piano di sopra, l'ip da cui esce è turco.

M.

[andrus9000]

Mau quando parlavo di turchi... in realtà mi riferivo agli hackers



Comunque credo che il mio hacker personale (ormai è un mio cliente affezionato, visto che è tornato già 3 volte) sia proprio turco, la prima volta è stato così gentile da lasciare nella mia index.php la sua mail, i saluti e un link ad un sito, una qualche forma di comunità di hackers, con tanto di lista aggiornata dei siti sverginati quotidianamente, tra cui il mio... si vantavano i galletti... li tutto è scritto in turco, quindi credo che si tratti proprio di gente di quei territori ostili...


Però scrivendo scrivendo mi è venuta un'idea: che siano turchi o il tipo del piano di sopra, se il loro ip esce dalla turchia, non posso restringere l'accesso al sito e proibirlo a famiglie di ip turche?
Forse potrebbe essere una soluzione temporanea? Tanto non mi interessa che sito sia visto in turchia, anzi è meglio che non lo sia... 


Non mi voglio però distaccare troppo dall'essenza del mio post... capisco che le possibili cause di tutto questo possono essere molteplici, server configurati male, siti dei vicini di casa programmati alla sanfrason e soprattutto io che non sono un esperto di sicurezza, proverò, come già consigliato, a chiedere spiegazioni al provider...

Però se ci allontaniamo un attimo e guardiamo il tutto dall'alto della nostra montagna, potremmo riuscire a vedere le cose più chiaramente... il log dice che un ip localizzato in turchia ha provato per circa un'ora a richiedere la pagina administrator/index.php del mio sito 4 volte al secondo... io questo lo interpreto come un attacco deliberatamente diretto e intenzionale contro il mio sito e non un "passare dal server usando qualche altro sito"... è per questo anche che chiedevo se qualche esperto potesse esaminare il log per cercare di approfondire la topa... ehm... la cosa 

la 2.5.6 non ha vulnerablità note (..o quasi)... è quel quasi che mi preoccupa... e poi non sono note fino a quando non vengono scoperte, ma non è detto che non ci siano, tra l'altro stento a credere che questa versione di joomla, anche se un lavoro ammirabile, possa essere definitivamente diventata impenetrabile... quindi sulla base di tutto ciò vorrei stimolare chi è capace per cercare di indagare su quello che sta accadendo, è importante capire al più presto!


Vi lascio la buonanotte... anche in turco: iyi geceler

[mau_develop]

non è possibile che uno ti entri tre volte in un mese, o nel server qualcosa non va o fai tu qualcosa che non va.

se ci fosse una vulnerabilità in joomla vedresti una strage di siti... oddio non è che non capita...ma nn mi sembra ora.

M.

[andrus9000]

e se fossi io uno dei primi? con la fortuna che ho...


google "hacked by webmouse" e vedi cosa ti da... per me è negativo    ... nel secondo risultato mette addirittura la musica di sottofondo

[andrus9000]

Ragazzi ho cattive notizie...


Analizzando nel dettaglio i log di accesso al sito ho trovato un url strano... l'ho copiato ed incollato per vedere dove mi avrebbe portato e ho scoperto qualcosa di veramente apocalittico...


Io lo sapevo.... il turco ci sa fare!!!


Sono arrivato ad una pagina di un sito anch'esso con la pagina iniziale hackeata da questo che si firma web mause, la cosa più grave è la pagina... praticamente è una lista di centinaia (se non migliaia) di siti ognuno con il nome utente dell'hosting e un symlink, cliccando sul quale si vanno a vedere tutti i file contenuti nelle directory dei rispettivi siti!!!.. poi in alto c'è un menu, deve trattarsi di qualche hacker tool....

qui la cosa si fa grave...

Scusate avevo allegato un'immagine ma credo sia meglio toglierla.

[jeckodevelopment]

sicuramente sarà riuscito a fare l'upload di una shell e quindi spadroneggia nei server attaccati, come gli pare e piace.

[tomtomeight]

 

praticamente è una lista di centinaia (se non migliaia) di siti ognuno con il
nome utente dell'hosting e un symlink, cliccando sul quale si vanno a vedere
tutti i file contenuti nelle directory dei rispettivi siti!!!..

Non c'è bisogno di essere necessariamente un hacker o possedere doti speciali per fare questo, qualsiasi editor può leggere una directory ed i vari servizi come whois ti dicono informazioni circa l'hosting. Leggere una directory di un server qualsiasi è facile, legger poi anche i file protetti è un altra cosa.

[andrus9000]

Aspetta Tomtom tu non hai visto quello che ho visto io:





credo sia superflua ogni osservazione... tra l'altro mi è sembrato un ottimo tool... non ho resistito alla tentazione di fare un giro... 


Avevate proprio ragione voi comunque... sono entrati da altri siti dello stesso provider... e la lista di centinaia di siti non è altro che l'elenco dei clienti del mio provider  ...


Il caso è risolto... vi ringrazio tutti per il prezioso aiuto e ringrazio anche me stesso per aver insistito con l'analisi del log, solo così ho potuto veramente scoprire che cosa è successo, come è successo e cosa fare per rimediare, questo era quello che consideravo la vera priorità...


Alla prossima 


Una piccola aggiunta: a proposito di ottimi tools, cercando informazioni sul forum inglese ho trovato l' FPA o Forum Post Assistant... un file php che si carica sul server e ti da un utilissimo report sullo stato del tuo sito, incluse tutte le impostazioni del server ed eventuali segnalazioni di vulnerabilità... il tutto poi si può copiare e incollare in un post che viene fuori anche ben formattato... ottimo strumento per avere in pochi secondi un resoconto completo sulla situazione globale sito/server/estensioni ecc. che può essere molto utile per capire e prevenire.


Mau forse si potrebbe aggiungere alla lista delle cose da fare in caso di attacco? Sono sicuro che potrebbe essere molto utile... scusa se forse già c'è invece, ho letto la lista un po' frettolosamente, spero che capirai... ero preso dai turchi!!!

[giovi]

in quanto è un sito in costruzione e non ha ancora senso ripristinare un back up ed è l'ultima versione di Joomla).

Ciao Andrus, sappi che i backup si utilizzano molto più per un sito in costruzione che per uno di produzione!!!

L'anomalia (almeno credo) è che si tratta di una nuova installazione di Joomla 2.5.6, senza alcuna estensione (solo quelle di default), con file .htaccess + register globals off + sito offline + template predefinito! Eppure continua ad entrare e fare danni... cose turche!!!

E se il problema fosse il server/altri siti sul tuo server?

La prima volta mi ha cambiato le password

Segno ancora più evidente che dipende dal server perché la pwd viene registrata sul database

Ho cancellato l'intero sito, il db, cambiato le password, ma niente... riesce sempre ad entrare...

Ecchettelodico a fà

Puoi provare a vedere nel componente redirect se c'è il segno di qualche intrusione ad esempio qualche tentativo di raggiungere pagine sospette ma inesistenti, ma è più probabile che il problema non sia tu.
Altrimenti potrebbe essere qualche file che non è stato messo apposto dopo il primo attacco e da allora fornisce un punto di accesso al cracker. Puoi provare ad esportare articoli e contenuti in una nuova installazione di joomla (non sarà difficile se usi le estensioni di default), ma se il virus continua ad entrare.... ecchettelodico a fà (moltiplicato x 2)

[mcgyver2012]

ciao a tutti, scusate la mia ignoranza, ma a che menu a tendina vi riferite?? io ho joomla 2.5.6 ma non ho nessun menu a tendina per la lingua..
grazie mille e complimenti per l'ottimo lavoro e aiuto che date sempre

[giovi]

menu a tendina??

[tomtomeight]

@mcgyver2012
Per cortesia cosa c'entra questa tua richiesta in questa sezione? Non ha senso, per favore apri un nuovo post nella sezione multilingua, grazie.