Back to top

Autore Topic: Sito defacciato, index.php cambiata  (Letto 5788 volte)

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Sito defacciato, index.php cambiata
« il: 11 Gen 2014, 11:15:40 »
Ciao
gestisco un piccolissimo sito illustrativo di una casa vacanza che da un po' è stato preso di mira da buontemponi che mi cambiano la pagina index.php.
E' vero che è realizzato con una versione ormai vecchia e che non aggiorno componenti e estensioni (pochissime!!), per la precisione è la 1.5.15 che in questo momento sto aggiornando via ftp alla 1.5.26 come suggerito dalla guida per la sicurezza in joomla http://www.joomla.it/download/vecchia-versione-joomla-1/485-aggiornamento-da-joomla-1-5-x-a-joomla-1-5.html
Per evitare di rifarlo da capo con una versione nuova (quale, in questo caso, suggerireste?) potreste indirizzarmi per farmi capire da dove entrano a cambiarmi la index.php e quali controlli fare anche minimi per mettere in sicurezza un po' di più contro la vulnerabilità del sito?
Preciso che c'è anche una pagina intro index.html che rimanda con un pulsante alla index.php, vera home di joomla.
Spero in un vostrio aiuto! Ringrazio in anticipo.

Offline giovi

  • Instancabile
  • ******
  • Post: 9835
  • Sesso: Maschio
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #1 il: 11 Gen 2014, 12:36:55 »
Dal momento che avevi ancora la 1.5.15 probabilmente non si sono sforzati neanche tanto... come fai a chiederti come fanno ad entrare?

Se è un sito che non aggiorni mai è inutile che lo rifai o che lo rifai con joomla, ci saranno sempre nuove scoperte di bug e nuovi tentativi di attacco, joomla è una piattaforma troppo diffusa perchè gli hacker cessino di vulnerarla... O lo lasci con la 1.5.26b o lo rifai con una versione a piacere ma lo aggiorni continuamente...
ricorda che non tutti i componenti della 1.5 sono disponibili sulle nuove versioni
« Ultima modifica: 11 Gen 2014, 12:39:27 da giovi »

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #2 il: 11 Gen 2014, 12:39:53 »
Lo so, mea culpa, certo! Assolutamente.
LA mia era solo una curiosità..capire il modo e la porta (per colpa mia, ripeto).
Ma con quest'aggiornamento sarà meno facile?
Un paio di estensioni non le aggiorno perchè non sono più seguite...
Ho provveduto a cambiare pass e nome utente di amministratore backend...davvero il mio è un sito microscopico solo funzionale, come l'hanno trovato è un mistero. :o

Offline giovi

  • Instancabile
  • ******
  • Post: 9835
  • Sesso: Maschio
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #3 il: 11 Gen 2014, 12:41:58 »
c'è la stessa probabilità solo se lo lasci non aggiornato. Se il sito è aggiornato a livello di sicurezza sono tutte uguali: le LTS vengono aggiornate solo quando c'è un malfunzionamento o quando si scopre un nuovo bug di sicurezza. Se non viene rilasciato l'aggiornamento (e quindi quella che usi è l'ultima disponibile) allora sai che è versione la più sicura che puoi avere. Nel momento in cui vengono rilasciati aggiornamenti cessa di esserlo e, chiaramente, più aumentano gli aggiornamenti e più il tuo sito diventa insicuro

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #4 il: 11 Gen 2014, 14:48:52 »
come detto in numerosi post, una volta che un hacker è entrato si sarà lasciato dietro una serie innumerevole di backdoor/shell e così via tramite le quali riguadagnare l'accesso al sito.

da quanto sopra consegue che capire da ove entrino adesso potrebbe richiedere settimane, perché sarebbe necessario analizzare uno ad uno le migliaia di files php presenti.

puoi solo tenere db ed immagini (verificando che siano davvero immagini.), quindi segui i topic marcati come importanti e migra a j3.2.

ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #5 il: 12 Gen 2014, 19:50:56 »
Si ormai lo rifanno malgrado abbia aggiornato a 1.5.26.
Mi conviene migrare a 3.2 quindi?
La nuova versione coprirà le vulnerabilità degli accessi ormai aperti?
Non posso fare nulla con Comodo firewall per tenere più strette le maglie?
(frustrato :-[ ).
Grazie dei commenti.


Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #6 il: 12 Gen 2014, 20:18:44 »
1.
sì, J3.2

2.
devi cancellare tutto ciò che c'è sul server e modificare tutte le password dello stesso (ftp/db/et cetera)

3.
no. a parte che il firewall dovresti metterlo sul server, quindi il server deve essere tuo, per questi tipi di vulnerabilità non serve.

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #7 il: 12 Gen 2014, 20:36:59 »
Grazie della risposta.
Ti chiedo solo una cosa: sarebbe meglio rifare tutto ex novo per migliorare la sicurezza futura o semplicemente avere la 3.2 e aggiornarla servirà allo scopo?
Secondo te che cosa permette di cambiare la index.php?
Se elimino tutte le estensioni e componenti che non uso o che non sono più aggiornabili ho qualche chance?  Essendo pochissime le cose che ho fatto col sito, un'idea della "porta" ci potrebbe essere o le possibilità sono molteplici? SI tratta sempre di una index.php che rimanda a filmati youtube ormai bloccati per copyright o immagini allarmistiche tipo Flash Player non aggiornato/sito non sicuro, con scritte in lingua spagnola/portoghese....Magari la soluzione è facile e io ce l'ho sotto gli occhi e non la vedo.
Ho confrontato la root di Joomla con quella di adesso e ho trovato vari file "nuovi" bellamente aggiunti, persino una cartella di smiley! I file sono .swf, php e fanno capo a attività che un IP non mio ha eseguito (visto da pannello di controllo del provider).
In un file c'era un form di accesso con account e mail "supportato" da file di verifica dello stesso sempre nella root di joomla..eliminato tutto, ma come l'hanno aggiunto??
E se disabilitassi l'accesso FTP (a meno che non ne abbia bisogno e uin tal caso lo riaprirei) per impedire almeno una porta? Ho visto che dal provider ho questa opzione. Ora cerco altri comandi anomali nei file principali di Joomla..vorrei capire davvero in questa particolare e sempre uguale situaizone da dove mi possono entrare.
Ho segnalato al provider sperando in qualche aiuto o segnalazione sua utile.
Ora faccio qualche ricerca prima di fare la migrazione.
Grazie ancora dell'aiuto. :-[ :-[ :-\
« Ultima modifica: 12 Gen 2014, 21:58:52 da alex001 »

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #8 il: 13 Gen 2014, 08:57:28 »
guarda che quella a j3.x è una migrazione non un aggiornamento, quindi parte delle tue domande iniziali non hanno senso.

comunque se hai un sito immobile da anni prendi anche in considerazione l'idea di farlo in html e basta.

da dove entrano? lo si può scoprire solo con una indagine sul server.

ftp: dubito che accedano da lì, ma disabilitarlo non fa male.
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #9 il: 13 Gen 2014, 17:02:36 »
Si si avevo capito che è una migrazione e non un aggiornamento, mi sono spiegato male; è che avendo pochi contenuti mi conviene rifare tutto da capo nella nuova versione, penso, per essere sicuro che levando tuitti i files e il database non restino altre falle da cui caricarmi questi files sullo spazio host.
Ho contattato il provider dopo aver visto dai log di accesso che ci sono stati altri IP al di fuori di me a "lavorare" sui files che avevo nella root di joomla senza esse3rmene accorto, files da cui si accede e si richiama a una "verifica" da parte penso di chi sta facendo questo scherzo, umano o tool che sia.
Anche oggi dopo aver fatto varie migliorie della sicurezza mi è comunque comparso un file zip con tutta una serie di files per ricominciare a gestire la home, la mail ecc.

L'host dice:
" il problema, come indicato mesi fa nelle nostre news, è sicuramente legato alla versione dello script
Purtroppo lato server oltre a inibire gli accessi anomali grazie a mod_sec (nato da sicurezze basate sui bug degli script) e al firewall non possiamo fare
Il tutto è sempre e solo legato a
- bug eventuali nel proprio programma FTP e tramite malware prendono i dati ftp  e inseriscono malware nelle pagine
- bug ovvi nel propio script come facilmente si può trovare su google o youtube .
I file comunque nel 90% dei casi li inseriscono via script e non via ftp.
il file che trova in /tmp (file x.txt) è il classico file che inseriscono via joomla ed è lì dal gennaio 2013"

LA cosa che mi ha preoccupato è che Google mi ha mandato unamail in inglese per avvertirmi che hanno notato un tentativo di attacco di pishing sullo spazio del mio sito e mi invitano a risolvere i problemi di sicurezza e rimuovere eventuali files impropri di cui non mi ero neppure accorto.
Uno dei link che google ha rimosso impedendone l'accesso e avvisando gli utenti che potevano esserci tentativi di pishing è http://nomesito .it/language/Sign_in.html

La mia domanda è, e viprego di capire che non sono un professionista e quindi davvero non so valutarlo da solo, mi conviene a sto punto "fixare" il tutto? E se raso via files+DB, se riparto con un joomla 3.2 non è che ormai il dominio è "bucato" e torneranno a farmi visita ancora alla cerca di altre falle?
Non so se voglio affrontare tutto sto stress visto che per me era un gioco anche se interessente e ci ho messo parecchio partendo da zero a capire quel po' che so fare...visto quel che ne faccio del sito, mi basterebbe anche solo tenere il dominio, pubblicare un semplice INDEX.HTML con un banale link a una fotogallery qualunque su internet...in questo modo eviterei con SICUREZZA entrate indesiderate e altre amenità fatte al posto mio?
HO veramente bisogno di un consiglio da newbie...lo chiedo con umiltà..che mi comnviene fare a sto punto? :-\
P.S. qui se ne parla http://www.prolateral.com/news-section/news-news/289-has-your-joomla-website-been-hacked.html
 
« Ultima modifica: 13 Gen 2014, 17:28:46 da alex001 »

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #10 il: 13 Gen 2014, 18:02:58 »
se non sei un professionista rifai da zero che fai prima.
ma che faranno gli hacker in seguito nessuno lo può dire; di solito provano lo script e se non funziona cercano un altro sito.

per il resto se vedi le tre risposte che ti ho dato c'è già tutto (dall'inutilità del ripristino al sito statico solo htm, passando per il cambio di tutte le credenziali), ed è inutile ripeterlo con altri termini...


quanto al 'qui se ne parla', se ti vai a vedere il mio sito troverai diversi articoli sugli attacchi, sulla sicurezza e sul ripristino degli hacks. 
in particolare la serie 'ripristinare Joomla dopo un hack' (lettiti l'uno e il due) spiega nel dettaglio che è successo e come intervenire.
sul medesimo sito trovi anche un bel plugin di sicurezza free ed open source.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #11 il: 13 Gen 2014, 20:09:09 »
Okay, ti ringrazio, mi metto a leggere i tuoi articoli per aumentare la mia scarsa cultura.
SOno orientato a cancellare tutto e creare quattro paginette html solo con testo e foto, senza script ecc e senza usare penso Joomla. Al massimo con aggiunta di alcune ancore che si linkino tra loro (a foto o testi) o fuori del sito ad altri articoli?
In questo caso non ci sarebbe NESSUNA possibilità per il mio attuale hacker di rientrare?
Non dagli script che non ci sono, immagino, ma è plausibile che possa mantenere "attivo" un ingresso sul sito attraverso qualche porta per rimetterci file suoi maligni, script o modificare la mia index.html?
La mia è ignoranza pura..so che la domanda per voi pro è stupida...ma mi risponderesti lo stesso con pazienza? Grazie per il tempo speso per me, ora cerco di leggere i tuoi link.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #12 il: 13 Gen 2014, 21:11:28 »
le uniche 'porte' (in senso lato) sono ftp e bugs nella configurazione del server.

per l'ftp: disattivalo quando non serve e comunque cambia tutte le pw, anche quelle del pannello del provider.

per la configurazione del server: non puoi farci niente, a parte selezionare un provider serio.


ps:
una porta non è un buco da cui si vede che c'è nel server  ;D
perché sia usabile deve esserci dietro un programma, quindi alla domanda "compro un firewall per chiudere le porte?" si risponde "no, non faccio girare ciò che non serve".


ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline alex001

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re:Sito defacciato, index.php cambiata
« Risposta #13 il: 16 Gen 2014, 15:00:17 »
Grazie! Ho risolto facendo ripristinare lo spazio dall'host ex novo.
Ora seguirò il consiglio di creare un piccolo sito statico in html con testo e foto, più gestibile. Anche se mi manca già Joomla...Chiudo.

 



Web Design Bolzano Kreatif