[RISOLTO]sito hackerato ripetutamente

[yourdream]

SAlve


Un sito da me costruito è stato hackerato ripetutamente da d3b x, premetto che è la rpima volta che sento codesto nome, ho aggioranto tutto e cambiato template ma sembra non funzionare ritrovando mi sull FTP la seguente immagine ganteng.gif.


Ho persino rinominato ID 62, ma ulteriore cosa strana è che dal sito continua a inviare spam ai clienti o arrivano questi messaggi


WARNING: bad headers - Header line longer than 998 characters: References:

Qualche riscontro GRazie

[allegato eliminato automaticamente dopo un anno]

[ramses_2th]

Di che versione di joomla si tratta ?

[mau_develop]

sarebbe interessante implementare un sistema che prima di permetterti di fare una domanda ti suggerisca una serie di possibili argomenti da leggere... un po' come quando vuoi contattare l'assistenza di grandi servizi.

[yourdream]

La versione di joomla è la 1.5.26, ma la mia domanda è semplicemente se qualcuno a sentito mai parlare di un hackers con questo nome d3b x. In ogni caso ho cercato di fare pulizia del sito dei file non di joomla, ma non è stato sufficiente o non completo. Insomma è ancora presente, non so come ma sembra avere un account invisibile.

[yourdream]

Mi piaccio le persone che si svegliano bene la mattina, ovvio che non ho bisogno di assistenza specifica, ce l'ho la pago, era solo epr condividere l'esperienza, ma visto che non ce ne bisogno magari il forum potrebbe chiudere. Si sarebbe proprio bello avere un sistema che classifica i post per importanza, ma molto probabilmente a chi servirebbe il forum?

[giusebos]

Non sono daccordo su quello che hai detto, sapere chi ti è entrato in casa non ti serve a niente. Se ti sono entrati in casa ripetutamente è possibile che tu non abbia fatto abbastanza per proteggerla.

[56francesco]

sapere chi ti è entrato in casa non ti serve a niente

e se fosse come si dice, infedeltà dei propri dipendenti?
sospetto sempre di chi pubblica affermazioni simili a vantaggio della cosidetta "colpevolizzazione della vittima"   ovviamente ti concedo tutta la buona fede possibile ed immaginabile,  ma come potresti escluderlo senza fare le dovute ricerche?
magari fare ciascuno il proprio lavoro?   (per inciso sti webmaster a volte pretendono di fare i tuttologi, un webmaster se c'è un attacco la prima cosa che dovrebbe dire è perchè e come è successo, in quale pagina approssimativamente, chi ovviamente in modo approssimativo ecc....
che poi a risolvere con un sistema linux (diciamo così) basta ricaricare le copie e questo lo sa fare pure un bambino.

[giusebos]

sti webmaster a volte pretendono di fare i tuttologi

webmaster e non solo

[yourdream]

Insomma venendo al dunque a nessuno è capitato di sentire questo famelico hacker d3b x. Diciamo che è riuscito a modificare l'index.php inserendo codice e facendo visualizzare il classico messagino, "ma che bel sito webmaster..." Anche simpatico insomma. Poi cosparso per tutto il sito file di "spam", individuabili facilmente perchè completamente estranei a joomla. Questi facevano in modo di riindirizzare il sito a un sito di pubblicità.


Ora che fare, basterà passare alla 2.5. La cosa strana che il sito ha un hosting di sviluppo e li sembra funzionare tutto e senza nessun attacco.

[56francesco]

Insomma venendo al dunque a nessuno è capitato di sentire questo famelico hacker d3b x.
..........

di solito quel tipo di personaggio agisce in base a delle valutazioni soggettive,  per sapere chi è ti basterebbe cliccare di destro e fare una ricerca, ma di solito non imprimono una firma digitale,  chiunque potrebbe usare il suo nic e il suo messaggio
ma questo non è un sito di investigatori privati, semmai di assistenza da parte di volontari come noialtri qui...
per capire come ha fatto dovresti fornirci tutte le credenziali di accesso e potrebbero non bastare nemmeno..

dalla versione 2.5  in poi joomla ha un sistema di rilevazione degli errori, li puoi vedere aprendo il file error.php che sta nella cartella logs
prova a leggere qualche traccia potrebbe averla lasciata li.

[yourdream]

Grazie mille della risposta, la ricerca l'ho fatta e esiste addirittura su twitter un personaggio con questo nome, ma non credo sia lui. Comunque come specificato nel titolo questo è solo uno degli attacchi, prima avevo provveduto ad aeliminare migliaia di file stile htaccess con all'interno un rederict credo. ecco i lcodice

*******

edit by mod: eliminato codice




ovviamente prosegue e ovviamente i file erano in tutte le cartelle.


Proverò a passare alla 2.5 anche se è presente virtuemart e non mi sono ancora informato come sarà passare alla 2.5 dalla 1.5. Provo e vi facci osapere se riesco a debellare l'ennesimo hacker...


Ma possibile che la colpa sia tutta di joomla, oppure centra anche il provider, so che non l'ammetteranno mai, ma è strano che sul sito di sviluppo nessuno sia entrato e appena ho messo il backup nuovo tak subito defacciato.

[mmleoni]

il ciclo di sviluppo e di aggiornamento di J1.5 è finito nel 2012 (settembre mi pare); di chi la colpa se ti hanno bucato un sito che non aggiorni da un anno e mezzo? del provider?


e dai ragazzi!


ps: anche VM per J1.5 non è più aggiornato ne sviluppato...

[mmleoni]

quanto al nome dell'hacker: sarà un ragazzino che ha copiato uno script da un sito di sicurezza e lo ha fatto girare, prendendo i siti dai motori di ricerca (capito perché non il sito di test?) finché non ha trovato un sito non aggiornato né messo in sicurezza con firewalls ids o simili.


ciao
marco

[56francesco]

vi facci osapere se riesco a debellare l'ennesimo hacker...

per quanto ne so potresti essere tu stesso,  inoltre così (lanciando sfide in pubblico)   lo inviti a nozze...

[yourdream]

Allora mi sembra che state dicendo che i milioni di siti in joomla 1.5 fanno aggiornati alla 2.5. Interessante io pensavo che nonostatnte sia finito lo sviluppo un sito joomla 1.5.26 potesse continuare ad esistere senza tutti questi attacchi. Evidentemente mi sbagliavo. Comunque è interessante l'idea che sia un robot e non una persona fisica, ciò vuol dire che joomla 1.5.26 con tempalte ja_purity II è bucabile in ogni dove. Perciò direi che siamo arrivati alla conclusione. Ovviamente spero che qualcuno mi contraddice...

[miao]

si è cosi
joomla come il php sono mondi in continua espansione
se non  stai dietro agli aggiornanti prima o poi trovano la falla e per via di tanti stupidi tu ti trovi "rovinato"
Benvenuto nel open source!! 

[yourdream]

Ok è sicuramente un problema del sito, ma fatte tutte le dovute modifiche e cioè:


- pulito il sito da file sospetti


- eliminato user con id 62


- utilizzo di solo ja_purity II (con eliminazioni altri template)


- Cambio password di super user e FTP


Si conclude che non è servito a niente e l'unica soluzione è passare alla 2.5.


Grazie

[yourdream]

Comunque non credo sia un problema di open source, se un hacker ti vuole attaccare dubito che anche se hai un sito ad hoc non ti serva a granchè o mi sbaglio...

[miao]

Se non ripari la falla  hai voglia di svuotare l'acqua

[56francesco]

un sito joomla 1.5.26 potesse continuare ad esistere

ovviamente si questo non è in discussione.. 
ma la sicurezza di un sito è una questione di diversi comportamenti, sempre se parliamo di cose reali, se poi vogliamo ascoltare il marketing o la pubblicità è cosa diversa.
....
solo poco fa ho bannato con htaccess un altro ip con il quale qualcuno dalla russia (ma è un dato falso) si piglia la briga di colpire ogni 3 minuti un mio sito..
sto pensando di studiare cosa significa una certa caratteristica enunciata da alcuni server perchè non è solo quel sito ad essere impestato di spammer   (sono spammer e non acker) 
insomma ci sto lavorano e sono siti in 2.5  e pure aggiornati....
ma pure gli acher di m. lavorano e quelli sono solo di un tipo, poi ci sono le false registrazioni, gli utenti veri ma che sono falsi perchè in realtà sono spammer ..... 
e così via..
il tuo acher è l'ultimo delle insidie vere--