[link][ENG]Guida ripristino sito hacked

[mau_develop]

http://25yearsofprogramming.com/blog/20070705.htm

...un po' datata ma molto esaustiva e per la maggior parte ancora valida

M.

[fabdaine]

Ciao, sono nuovo di questo forum ma utilizzo joomla per i mei siti da un anno circa. Ieri mi sono accorto che uno dei siti è stato Hacked da un sedicente DR.SHA6H.
Vorrei sapere se è possibile ripristinare il sito cosi come era e quindi quali sono i file che presumibilmente potrebbero essere stati  modificati e inoltre di chi è la responsabilità di tale accadimento, di joomla, del provider di servizi, o di chi altro grazie.
Fabrizio

[bondweb]

Ciao a tutti
Anche a me è successa la stessa cosa, nonostante avessi settato i permessi della cartella templates su 555, ma evidentemente non è servito ad evitare questa intrusione, qualcuno ne sa di più su questa modalità d'attacco?

[fabdaine]

Ciao,
io ho risolto sostituendo il file index.php del template attivo con quello originale.
buona fortuna
Fabrizio
 

[bondweb]

Grazie Fabrizio!
resta comunque il problema di come prevenire una nuova intrusione da parte di questi hacker religiosi, la cosa inquietante è che sembra siano entrati dal pannello di accesso dell'amministrazione ed abbiano comunque bypassato nel mio caso i permessi che avevo impostato sulla cartella del templates per la quale avevo vietato la scrittura 

[fabdaine]

Spero che tu abbia risolto.
Inoltre è curioso che il provider dei servizi,di cui non faccio il nome, ma che tutti conoscono, non si sia in alcun modo preoccupato del fatto che il server che è stato oggetto di hackeraggio sia fisicamente il loro e non il mio, i privilegi che ho usato sono quelli che mi hanno dato loro che io ho lasciato inalterati perchè pensavo che fossero "buoni" .
Ma che abbiano fatto finta di nulla e poi invece siano intervenuti senza diffondere la notizia della scarsa sicurezza?
Aggiungo che anche la comunità di joomla non sembra molto interessata al problema.
Nessuno ha risposto alla mia richiesta di aiuto. Forse attribuiscono al singolo la responsabilità?
Mah! chissà perchè!
Fabrizio

[mau_develop]

 

il provider dei servizi....non si sia in alcun modo preoccupato del fatto che il server che è stato oggetto di hackeraggio sia fisicamente il loro

Aggiungo che anche la comunità di joomla non sembra molto interessata al problema.

Non è vero, al joomladay sono stati raccolti i soldi e ora Alex è in borsa per tentare la scalata ai maggiori hosting e quando saranno di nostra proprietà finalmente potremo occuparci anche di quello che ora non ci compete...

...scherzi a parte perchè dovrei/mmo preoccuparci di qualcosa che non mi/ci appartiene?
L'unico consiglio che posso darti è spendere qualche centinaio di euro al mese per acquistare una macchina, allocarla in una farm avendone accesso e possibilità di hardening... altrimenti dai i tuoi 20 euro al noto hoster e fai spesso i backup.

M.

M.

[fabdaine]

mmm!
io credo che la maggiore responsabilità sia del provider di servizi!
Devo anche dire che l'hacker si era enserito come utente administrator del sito e che quindi la porta di accesso è stat il backend di joomla.
Per trovare la password l'hacker ha fatto circa 25 accessi nel giro di pochi secondi, evidentemente eseguiti con un "cercapassword" e credo quindi che il provider dovrebbe tempestivamente disabilitare momentaneamente l'accesso in modo da bloccare sul nascere l'accesso dell'hacker. Inoltre a quel punto dovrebbe informare l'utente del sito chiedendo di modificare la password e quant'altro sia necessario.
Voi cosa ne pensate?
Fabrizio 

[bondweb]

Credo che questi consigli siano un ottimo viatico alla prevenzione di nuovi attacchi

http://googlewebmastercentral.blogspot.it/2007/09/quick-security-checklist-for-webmasters.html

tralaltro agganciando il sito agli STRUMENTI PER WEB MASTER di google si può essere tempestivamente avvisati via mail nel caso vi sia un attacco.

Su modalità operative del provider concordo, ma dipende dal livello di qualità del servizio offerto...

[mau_develop]

lascia stare, spediscigli direttamente la password.... hai a che fare con mandrake:

Per trovare la password l'hacker ha fatto circa 25 accessi nel giro di pochi secondi,

nessuno al mondo saprebbe fare di meglio.

M.

[fabdaine]

Ma quanti altri sono stati attaccati da questo stesso mio hacker?
Fabrizio

[Sansoweb]

Ciao voglio scagliare una freccia a favore del provider...
Il problema non è loro ma tuo o meglio del tuo pc...
Puoi settare i permessi in qualsiasi modo ma se il virus risiede nel tuo pc e si collega con le tue password registrate sul client FTP... beh capisci che non è il provider...
Controlla tutte le pagine index.php e index.html e pulisci il tuo pc con programmi spessi....
ciaooooo

[fabdaine]

Ciao Sansoweb,
intanto volevo dirti che non ho virus sul mio pc, inoltre come ben sai il sito non si trova sul mio pc ma sul server del "noto" provider italiano che secondo me ha la colpa di non monitorare gli "strani" accessi che vengono eseguiti alla ricerca della password per entrare nel backend del sito. Secondo me la risposta giusta del provider avrebbe dovuto essere: "Mi dispiace, purtroppo non è semplice individuare questi attacchi, cercheremo anche grazie alla sua indicazione di porre dei "filtri" ed ulteriori controlli per evitare questi spiacevoli incidenti. Dobbiamo avvertirla che anche tutte le altre password potrebbero essere state oggetto dell'hacker per cui per maggiore sicurezza la preghiamo di modificare le password e qualora non lo avesse ancora fatto le consigliamo di impostare password complesse in modo che l'eventuale hacker abbia vita più difficile." Avrei tranquillamente accettato la risposta ma il completo disinteresse mostrato e lo scarica barili delle responsabilità su di me, dandomi la colpa di password troppo semplici quando le password sono stati proprio loro a darmele... beh questo mi fa un po "innervosire" per non usare parole sconvenienti. No ti pare?
Fabrizio

[Sansoweb]

ciao scusa se insisto ma il virus non sarà sul server ma in locale da te....
Il tuo provider sicuramente avrà macchine linux.... Quindi al loro interno non ci sono VIRUS!
Il metodo di infezione del codice avviene tramite iniezione di codice malevolo con autorizzazione sul file o sulla cartella intera. quindi vuol dire che il virus a utilizzato le tue password di ftp...
Se pensi che su un unico server del provider ci saranno tantissimi altri siti come i tuoi e se pensi che per fornire questi servizi devono garantire degli standard di sicurezza elevatissimi (posso garantire).
Quindi i discorsi sono due o il tuo pc è infetto o quello di qualcun altro che ti aiuta....
O dai le password in giro...
Dato che penso sia più la prima io ti consiglio di fare un controllo approfondito ma non con gli antivirus che non risolvono niente... il pc deve essere messo in modalità provvisoria con rete e bisogna assolutamente passare combofix a mio giudizio e a quello di molti altri sistemisti il migliore per questo genere di problema...
Sicuramente vedrai che ti tirerà fuori una sbrodolata di cose....
Successivamente cambia la password e ricarica un backup pulito.
Ciaoo

[fabdaine]

Scusami ma io non trovo virus. Prova a cercare questo su google: "DR.SHA6H". il problema è che mi è stata sostituita la pagina iniziale del mio sito con un'altra pagina. Perchè mi parli di virus? L'hacker è entrato come amministratore si è creato un account e poi mi ha sostituito l'index.php del template che stavo usando.Inoltre dal log del sito si vede che ha tentato per un breve periodo ad entrare con qualche programma decriptatore di password. il mio pc cosa centra? Nel periodo che è avvenuto il fatto io non mi ero mai collegato al sito, anzi, probabilmente erano svariate settimane che non andavo neanche a vederlo. Sono l'unico che ha le password e le password non sono memorizzate sul pc. Che dire, io rimango della mia idea. Tra l'altro il fantomatico hacher si fa riconoscere , prova a cercare e vedrai che ci sono molti siti hacherati da lui con la stessa home page che aveva messo a me.
 

[Sansoweb]

ok se pensi che sia così va bene... ciaoo

[fabdaine]

Io ti ho raccontato i fatti.
Ciao