Sito hackerato da xXM3HM3TXx

[pizzago]

Salve, oggi pomeriggio ho trovato tutti i siti web hostati sul mio server hackerati.

Questo è un link ad uno dei siti hackerati: http://www.sitowebbassocosto.it/WORLDNEWS/

Non ho idea di come sia successo. Sono state sostituite tutte le pagine index.php presenti nella root principale d'installazione di joomla.

Per lo più utilizzo la versione di joomla 2.5.6 - 2.5.7  Ho solo due sito creati con la 1.5.25

In tutto sul server ho 13 siti più o meno. Tutti hackerati.

Sono riuscito a risolvere sovrascrivendo la pagina index.php con quella originale.

Qualche idea di come sia potuto accadere?

Grazie

[mau_develop]

beh banale ...o il server o qualche sito e o estensione era vulnerabile...

ma se il server è tuo hai i log e puoi guardare da li... saranno un po' di files...

M.

[pizzago]

Grazie mau_develop, ho i file log ma non so cosa cercare, potresti darmi qualche dritta?

Cosa intendi quando dici che il server era vulnerabile?

Grazie

[mau_develop]

che se sono passati o sono passati da un sito e sono riusciti a scavalcare le directory facendosi tutti i siti oppure sono passati dal cpanel e hanno fatto da li.

Esaminare il log non è semplice... ci sono anche tool apposta... ogni servizio dovrebbe avere i suoi file di log, normalmente in /var, tutto ciò che è stato "richiesto" al server è scritto li... poi quanti sono dipende dal livello di log...
ma esiste l'eventualità che pure quello lo abbiano cancellato...

M.

[Sansoweb]

Ciao è successo anche a me,
te usi filezilla???
comunque ti consiglio di controllare tutti i file index.php e index.html

[pizzago]

Ho dato uno sguardo veloce e abbastanza superficiale ai file di log dato che sono 15 mb di file di testo. Non sono riuscito a cogliere niente di strano.

Secondo me è interessante anche l'insinuazione di Sansoweb riguardo filezilla. Perchè pensi che filezilla possa centrarci qualcosa ?

Ho già controllato tutti i file index.php e index.html , sono proprio questi i file che sono stati sostituiti, e il livello di profondità non si è fermato solo alla root ma anche ad alcune sottocartelle. Ad esempio hanno sostituito anche un paio di file presenti in root>administrator>index2.php   , index3.php ( questo sulla versione 1.5 di Joomla) e addirittura hanno sostituito anche un file nominato "presentazione.html" che si trovava sempre nella root.

Io ho la sensazione che tutto ciò non dipenda dalla vulnerabilità di un singolo sito preso di mira. Secondo me c'è qualcosa di più grave e pericoloso sotto.

Fatemi sapere cosa ne pensate.

Grazie

[Sansoweb]

Ti ho parlato di filezilla per un semplice motivo...
In questo periodo sono emersi problemi di sicurezza proprio su di lui...
Il problema è che tiene le password in chiaro e se hai il pc infetto, in automatico esponi i tuoi server ad attacchi dall'interno...
Hai provato a fare un controllo sul pc? molte volte i siti non vengono bucati dall'esterno ma dall'interno...
poi beh ovviamente ci possono anche essere problemi di vulnerabilità... mahhh

[pizzago]

Ho fatto una scansione del pc e non ho trovato niente.

Riflettendo su Filezilla, mi sono ricordato che con filezilla gestisco ben 5 server, per tutti e 5 ho salvato i dati di accesso dell'FTP, i 15 siti web hackerati si trovano tutti sullo stesso server, gli altri 4 server non sono stati toccati.

Questo significa che non hanno avuto accesso tramite Filezilla?

Non so più cosa pensare

[Sansoweb]

1)con cosa hai pulito il pc... (perchè con i programmini semplici non ci fai niente)
devi utilizzare programmi che passano molto in profondità non so se posso scriverli qua sul forum per regolamento....


2)hai verificato che non ci sia del codice malevolo negli altri siti? nelle index.php? magari fuori sembra ok ma all'interno è inserito del codice malevolo...