[RISOLTO]attacco al backend

[storm]

Buongiorno a tutti
utilizzo Joomla 2.5.7 + 1 sottodominio stessa versione. Componenti e moduli aggiornati il + possibile.

Da ieri mattina, per circa un'ora, si è verificato credo un attacco ( brute force?)al backend del mio sito . Più di 800 tentativi di intrusione con utente "admin" e passwd casuali . Tentativi tutti provenienti dallo stesso indirizzo IP. Questo mi è stato possibile visualizzarlo perchè avevo installato un plugin che mi invia una mail ad ogni tentativo errato .
Ora il problema è che il provider ( non so se posso fare il nome) mi ha bloccato l'account, forse giustamente per le mail inviate dal plugin a me stesso, almeno credo sia per questo...
ho già aperto un ticket di assistenza presso il provider, ma ad ora non ho ottenuto risposta. E mi ritrovo con l'account disattivato...

 

come ci si può proteggere da questi tentativi (?) di intrusione?
grazie.

[jarhead76]

Sono entrati? No, quindi stai tranquillo, l'account ti è stato bloccato per il gran numero di mail inviate, presumo, in un sol giorno.

[storm]

presumo di no... ma finchè avrò tutto bloccato (sito,FTP) non posso saperlo. E l'assistenza non mi risponde.
Certo che a questo punto sconsiglierei l'installazione di plugin come JM LOgin Failed perchè in caso di attacchi  come questo verrai bloccato dal tuo provider .
Quello che (forse) non è riuscito all'attaccante ,cioè danneggiarti o bloccarti il sito, te lo
 fa il tuo Provider . Mah ... speriamo che rispondano...

 

[mau_develop]

Anche questa è una vulnerabilità.
Tranquillo che un brute force sul login di joomla, se hai usato cervello a scegliere la password, è efficace come una fionda per tirare giù un jet.

Però, per quanto riguarda la sicurezza, si è verificato comunque un disservizio, identico a quello causato da una compromissione dell'applicazione o da un ddos e questa è una vulnerabilità di cui siete entrambi responsabili, tu per la tua parte che non riesci/sai gestire quell'avviso senza che causi problemi all'hoster e lui perchè dovrebbe capire che tra un sito buttato giù da un hacker e uno buttato giù da un hoster non c'è la minima differenza: entrambi sono irraggiungibili.

....puro evangelismo

M.

[storm]

aggiornamento 1:  mi ha risposto l'assistenza.  Mi ha obbligato a cambiare User e passwd di accesso.
Ma non mi hanno ancora riabilitato l'account . Mi sono permesso, gentilmente, di spiegare quanto può essere successo, ed il mio errore  nell'installare quel plugin. 

Tuttavia mi è stato mostrato un cartellino giallo facendomi notare che alla prossima sarò fuori! 

p.s. secondo loro l'account è stato compromesso, ed a dimostrazione di ciò mi hanno inviato un breve listato, che sono poi le mail inviate dal plugin (!?) .

[mau_develop]

se in 800 tentativi sono riusciti a passare, la password era "forzamilan" o la data di nascita o è stato tuo fratello perchè parli nel sonno.

M.

[storm]

niente "forzamilan" (di questi tempi...), date di nascita, non parlo nel sonno, anche se russo un pò ...

mmm...qui finisce che "Lo Hacker"  sono io ... e non chi ci ha provato 

buona serata.

[mau_develop]

...allora lascia perdere quello che dice l'hosting, probabilmente non sa nemmeno lui cosa farsene di quelle righe che legge....

M.

[storm]

beh... mi piace pensare che siano risposte "standard".
Il sito è miracolosamente riapparso e, pensa un pò, sembrerebbe integro. Ora corro a disabilitare il plugin e a cambiare tutte le altre passwd come da ordini prima che mi arrivi la seconda ammonizione...

grazie.
ciao