Sito hakerato

[nio84]

Ciao ragazzi, stasera mi hanno hakerato il sito.
Prima di intervenire vorrei far vedere a tutti.
Questo è il sito www.sardegnadavedere.it
Mi hanno cambiato la pass dell'amministrazione joomla, quindi penso che abbiano hakerato il joomla e non l'ftp. E' però strano in quanto tutto il sito era stato aggiornato.
Mi potete ricordare come faccio dal phpmyadmin a reimpostare la pass originale?
Prima di cancellare e mettere il backup che avevo fatto qualche giorno fa vorrei vedere dentro il sito alcune cose. Grazie
Si accettano consigli, e se qualcuno ha avuto lo stesso problema, può gentilmente dirmi come si è comportato, grazie.

[nio84]

Ragazzi per non rovinare troppo la faccia del sito ho deciso di metterlo offline fino a domani mattina.
Ho fatto 3 screenshot per farvi vedere, ma non riesco ad inserirli adesso.
E grazie alla wiki di joomla ho reimpostato la pass da phpmyadmin.
Ecco il problema del sito, ogni pagina dalla home a tutte le altre, mostrano questa pagina che ho diviso in 3 screenshot, dove c'è scritto hakered by ... poi alcune frasi in arabo, con traduzione in inglese. No malware o virus.
C'è un modo per recuperare il sito senza doverlo ripristinare dal backup?
Aspetto vostri consigli, grazie

[tomtomeight]

Come per tutti i casi analoghi al tuo, leggi e segui il post in evidenza in questa stessa sezione.
http://forum.joomla.it/index.php/topic,117151.0.html

[nio84]

Ciao Ragazzi,
dopo aver cancellato tutto il sito e averlo ripristinato con un backup pulito. E poi aggiornato all'ultima versione.
Sono stato nuovamente attaccato, da questo gruppo http://www.facebook.com/bdgreyhats
Ho anche il loro indirizzo ip, potrebbe servirmi a qualcosa?
Comunque quest'ultima volta mi hanno cambiato anche la pass di accesso all'ftp
il che mi fa pensare che il problema non è una vulnerabilità di joomla, ma dell'hoster.
Giusto?

[mau_develop]

come si fa a dirlo? ... bisognerebbe vedere se hai fatto tutto per benino.... hai cancellato tutto e dopo avrai trasferito parte di ciò che già avevi ... ti sarai mica rifatto chessò le immagini... o il template... puoi aver ricaricato una shell...

M.

[nio84]

certo hai ragione.
Ma il fatto che mi hanno cambiato la pass dell'ftp? A cosa può essere dovuto?
Penetrando nel sito tramite una falla di joomla, posso arrivare a cambiare la pass dell'ftp?

[mau_develop]

nì, ...o la trovano perchè ce l'hai scritta da qualche parte o riescono ad arrivare al tuo pannello ftp e potrebbe essere un problema della conf del server

M.

PS se è un problema del pannello ftp il check su sucuri checksite te lo dice

[nio84]

Prima ho mandato una mail all hoster perchè volevo farli vedere un po di cose.
Ma non ho potuto aspettare troppo. Quindi poco fa tramite il cPanel ho reimpostato un altra pass all'ftp, e proprio ora sono entrato.
Cosa vedo... non c'è più la cartella administrator...
Cosa ne pensi?
[Agg: mi hanno cambiato il file index infatti inserendone uno dal backup la home è visibile. Questo problema lo avuto in passato con un altro sito sempre joomla. All'epoca era colpa dell'host.
Una cosa che ho notato adesso è che il file error log è diventato molto più grande, circa 44 mb.
Questo può significare un attacco brute force? ]

Ps. non tengo mai le pass scritte sul pc (tutto nella testa ). Fatto il check con sucuri checksite, e mi dice pulito.

[mau_develop]

Ps. non tengo mai le pass scritte sul pc (tutto nella testa ).
-------------------------------------
...sì, tranne quelle che metti nel configuration.

M.