Attacco hacker dal Brasile [RISOLTO]

[criscar]

 Salve, questa notte il simpaticone dal Brasile che si chiama Leandro ha attaccato (con successo) anche il  sito del mio istituto www.icvittorioveneto2.it e  appare la seguente scritta:
Hackeado por HighTech Brazil HackTeam
No\One - CrazyDuck - Otrasher - L34NDR0
ha praticamente sostituito questo testo con il materiale della homepage. Le altre pagine sono ancora visibili. Il sito è su joomla 1.5.
Cosa posso fare, se è entrato adesso potrà farlo ancora, soprattutto, da dove passa?       Segnala al moderatore    93.144.126.254   

[giovi]

che versione di joomla? 1.5.26 o inferiore? Quali estensioni hai installato? Qualcuna è stata indicata come vulnerabile? Perché copi pari pari i post degli altri utenti, ti accodi ai loro topic e poi ne apri uno tale e quale in una sezione che non c'entra nulla invece di aprire direttamente il tuo nella sezione dedicata?

[ferro]

Sostituiscono il file configuratio.php
Chissà se lo sostituiscono o lo scaricano perchè appunto nel file ci sono tutti i dati importanti!

[giovi]

ferro la tua teoria è inverosimile, perchè se così fosse il resto del sito non avrebbe continuato a funzionare...

[criscar]

Scusatemi per l'incompetenza a partecipare al vostro forum, mi sono da poco iscritta. Non ho avuto il tempo materiale di documentarmi in merito. Ho l'urgenza di risolvere il mio problema in quanto mi occupo del sito del mio istituto. Ho verificato nel ftp che è stato inserito un nuovo file xk.txt nell'indice con i dati che compaiono nella home page del sito e che sono stati aggiunti anche dei file nelle cartelle cache, index e tmp. secondo voi che posso fare?

[giovi]

il brasiliano che ha "bucato" il tuo sito è solo un burlone Cancella la pagina index.html che hai nella root e tutto tornerà a funzionare... il tuo sito infatti è ancora intatto, guarda tu stessa: http://www.icvittorioveneto2.it/index.php


Chiedi al provider di cambiare le credenziali di accesso ftp e spiegagli cosa è successo: qualcuno deve prendere delle misure di sicurezza sopratutto dal momento che si tratta di un sito di una pubblica amm.


Se è attivo, disabilita da configurazione globale il layer ftp (se presente) e cancella la password ftp se l'hai salvata

[criscar]

Nella root ftp in joomla non c'è scritta alcuna pagina. Entrando in indice ftp nella cartella  httpdocs vedo la pagina index.htlm generata ieri dall'hacker ma non riesco a cancellarla. Come posso fare ad eliminarla?
Grazie dell'aiuto.

[criscar]

Grazie per l'aiuto datomi. Sono riuscita a cancellare il file index.htlm entrando con l'editor htlm di explorer. Ora è tutto sistemato , contatterò il provvider come da te suggeritomi per implementare la sicurezza.
Nuovamente ringrazio e buona giornata.

[giovi]

di niente, ma ricorda di inserire [RISOLTO] nel titolo del primo post, grazie

[ferro]

ferro la tua teoria è inverosimile, perchè se così fosse il resto del sito non avrebbe continuato a funzionare...

Caro Giovi, nel mio caso l'individuo ha modificato il file configuration.php.
Ripristinato, il sito web è tornato a funzionare.
http://www.2t-special.it
Saluti

[giovi]

ma, come hai potuto notare, non era questo il caso di criscar... infatti nel suo caso il resto del sito funzionava correttamente.
Bisogna prestare attenzione alle informazioni che danno gli utenti altrimenti si divaga senza dare un aiuto concreto a chi magari è nel panico... è utile che tu condivida la tua esperienza ma devi farlo anche nel modo più appropriato, altrimenti diventa un aiuto distruttivo.

[ferro]

Ok ho capito cosa intendi, io ho cercato di dire la mia di esperienza, non potevo
sapere le intenzioni dell'hackero e cioè che cambia "comportamento" ogni sito web che riesce a bucare.
Intanto ho visto che continua a modificarmi i files  (in totale una decina tutti con estensione .php)
Ho provveduto alla sostituzione della passw sia per l'accesso FTP  che per l'accesso al pannello di controllo.
Loading........

[egmont]

Solo per dire che ho ricevuto lo stesso tipo di attacco sul mio sito http://www.marcoiegre.it con il cambiamento del file configuration.php, ripristinato è tornato tutto a posto, cambiate anche pwd sia di joomla che FTP. Grazie a tutti per le informazioni.

[giovi]

ferro prova a sentire criscar in pvt, confrontatevi e vedete se il provider è lo stesso. Probabilmente è una falla del server

[ferro]

ok fatto ma come dire......già me lo immagino! 

[ferro]

Previsone sbagliata, gli hosting son differenti!
Invece ho letto che sul forum che altri utenti hanno avuto problemi analoghi
e il "buco" deriva da una falla di alcuni (o quanto meno uno in specifico) template!

[giovi]

si è vero, il template ja_purity nativo di Joomla 1.5 conteneva un bug risolto poi nella seconda versione del template ma purtroppo le cause possono essere svariate!

[ferro]

ok le cause possono essere molteplici, nel mio caso specifico vedo che il template esiste
ma non è quello di default! Quindi entrano ugualmente? ? 
Intanto l'ho disinstallato......basta oppure devo rimuovere da ftp???
 

[giovi]

quando disinstalli cancelli anche i file quindi non server cancellare la cartella via ftp.
Un template è accessibile anche quando non è attivo, basta aggiungere la stringa per le anteprime delle posizioni al termine della url: ?template=ja_purity

[ferro]

ok grazie, ho verificato e in effetti nella cartella templates non c'è più.