Ci risiamo per l'ennesima volta

[aex]

E' accaduto a settembre ed ho ripristinato con un backup.
Ora ci risiamo.
Mi contatta l'hoster che mi dice che dal mio account stanno inviando spam (l'account che non è in utilizzo, non può essere modificato o eliminato.


Penso che anche questa volta mi abbiano fatto partire del tutto il sito ma invece riesco ad entrare e tra gli utenti ne trovo nr.3 fake.


Ho la versione 2.5.14 ma è evidente che ci sia una falla. Proverò ad aggiungere il captcha ma cos'altro potrei fare? Ripristino backup a parte...




la cosa che secondo me è alquanto strada è che tralasciando i 3 account utente fake, creati. L'account email dal quale viene inviato lo spam, non è pubblico e non è mai stato utilizzato. Viene semplicemente creato dall'hoster e coincide con lo user di accesso al pannello admin hosting.


A me rimane il dubbio che i problemi forse non siano proprio tutti miei e loro però mi dicono che sono attrezzati anche se non possono escludere al 100%  incursioni di questo tipo

[carlodamo]

in joomla hai alcune estensioni esterne? Se si, quali? Sono aggiornati?

Estensioni sono: componenti, moduli, plugins, templates.

Ciao

[giusebos]

Codice: [Seleziona]

Ho la versione 2.5.14 ma è evidente che ci sia una falla.
Evidente da cosa, evidente da chi?
Per conto mio è solo disattenzione o non professionalità,
altrimenti quanti altri siti avremmo nella tua stessa condizione?

Ho da poco ripristinato un sito di una persona che puntualmente veniva bucato, sai quale era la causa?

Il volersi ostinare a  tener installato decine e decine di estensioni che non usa, estensioni installate per gioco e per prova, alcune delle quali scaricate da siti warez ed altre da siti/programmatori non presenti nella jed, senza capire che così potresti aver consegnato le chiavi di casa tua senza accorgertene ad un perfetto sconosciuto.

Così un paio di queste hanno permesso di accedere al backend e di prenderne il controllo avendo le credenziali dei due superadmin, la password e il nome del database.

Molte volte abbiamo detto che questi comportamenti sono pericolosi, che se abbiamo un estensione che non usiamo è meglio disinstallarla:
inutile prendersela con joomla, o come nel mio caso con il servizio di hosting, e vedere poi, con il nuovo provider, di nuovo il sito bucato!

Ognuno pianga il suo male

Quindi preoccupati di:
cambiare le credenziali degli amministratori del backend di joomla
cambiare le credenziali ftp e Mysql
eliminare qualsiasi estensione NO-CORE che non utilizzi, compresi i template
controllare che tutte le estensioni installate siano aggiornate

Ripristinando il sito in locale e possibilmente con una nuova installazione "vergine" e recuperando dal vecchi database le tabelle con gli articoli/categorie ed eventualmente gli utenti.

[aex]

Io non me la prendo con joomla.
Mi limito ad osservare che ho 2 hoster e la cosa accade solo sullo stesso.
L'hoster crea in automatico uno account email, che è anche lo user (senza la parte del dominio) e da questo account continua di tanto in tanto a partire spam.


Parallelamente, quando va male trovo il sito hackerato (con tanto di pagina bianca ed esplicito testo) e quando va bene, tipo oggi, mi trovo dei nuovi utenti fake.


Ripeto, posso provare aggiungendo il captcha e vedere, ma che però mi debba tenere un account (assegnato dall'hoser) e cheda questo account parta dello spam, beh, la cosa mi lascia perprlesso.


Problema solo mio? Non so.
Sito aggiornato ed è mia abitudine utilizzare solo poche estensioni ma mai warez (ci mancherebbe).


Ok, uno può entrare e creare registrazioni finte.
Non capisco però come si possa far partire migliaia di mail da un account che non serve a nessuno, non pubblico e mai utilizzato (e tra l'altro non è possibile nemmeno eliminare o modificare)


P.S. Ho altri 3 domini su un altro hoster e invece non ho mai avuto un problema.




I giudizi/consigli, li chiedo io?

[tomtomeight]

Per me una cosa è evidente e cioè che invece di capire ed affrontare il problema ci si preoccupa o di dare la colpa o difendere qualcuno o qualcosa. Non è evidente ma nemmeno impossibile che possa dipendere dal cms. D'altronde è capitato e capiterà sicuramente di trovare ancora vulnerabilità. Può darsi o no che sia colpa dell' hoster o non può darsi. Ma prendere posizioni su di chi sia la colpa non aiuta nessuno. È importante capire e non avere un atteggiamento prevenuto dando la colpa alla prima cosa che si ritiene ci sia stata superficialità. Per capire si fa una analisi seria e si chiedono dati di fatto, perché capire da dove viene un attacco aiuterà se stessi e gli altri in futuro. Bisticciare sulle colpe aiuta solo chi approfitta e si diverte ad attaccare siti, in joomla o altro.

[aex]

Non ho mai dato la colpa a questo o quello.

[tomtomeight]

Se affermi che una cosa è evidente cosa altro dovremmo dedurne. Le affermazioni si dimostrano, come pure affermare il contrario e quindi non sappiamo di chi o cosa dipenda. Ma invece di discutere su queste cose sarebbe meglio rispondere a carlodamo.

[aex]

Se affermi che una cosa è evidente cosa altro dovremmo dedurne. Le affermazioni si dimostrano, come pure affermare il contrario e quindi non sappiamo di chi o cosa dipenda. Ma invece di discutere su queste cose sarebbe meglio rispondere a carlodamo.

Proprio in questo momento non riesco più ad accedere al sito e all'ftp, ho altri siti da gestire e non voglio perdere un'altra giornata intera, sempre per lo stesso problema.
Ho chiesto spiegazioni all'hoster e se mi può anche fornire gli ip sospetti.


Appena mi risponderanno, ci metterò mano. Al momento è del tutto inutile.

[aex]

Mettiamo in standby la discussione e vediamo dall'altra parte cosa mi rispondono.

[aex]

Mi hanno risposto che hanno comunque bloccato alcuni script eseguibili, perchè non possono ripristinare alcun backup.


Ecco cos'hanno trovato di anomalo, dentro la cartella "administrator" della root principale:


7c34.php
abookWpqK.php
aIQI.html
eHmobile.php
faqFiL.php_spambot
google.php infoJ78.php_spambot
newsM0c7.php_spambot
rIQI.html
robotsVfe.php_spambot
sIQI.html config.php
Mi sono però accorto che devono aver bloccato il mio ip, quindi al momento non posso fare nulla.
Chi gliel'ha detto poi...

Se stavo lavorando sul server, datemi almeno 10 minuti. Potrebbero essere entrati non necessariamente da joomla ma dal loro server, visto che questi problemi li ho solo con loro.

[aex]

Finalmente sono sul server.
Purtroppo non riesco a trasferire quei file in locale. Non riesco nemmeno a modificare i permessi.
Ci tenevo, prima di cancellarli, per capire che roba è.


Cosa/Come  posso fare?

[giusebos]

se non riesci a modificare i permessi è chiaro che devi rivolgerti ancora al tuo provider.

[aex]

Si, ma immagino che se non lo posso fare io, riescano almeno ad inviarmi i file in un zip.
Così per capire cosa c'è dentro.

[aex]

Dunque:


E' da stamattina che ho scritto chiedendo di sbloccare momentaneamente i permessi, in modo da poter trasferire i file in locale e che poi li avrei eliminati io.




Solo le 17 passate e sono ancora qui, con gli script bloccati e in attesa di un cenno di risposta.
Ottimo servizio.