Autore Topic: Disastro totale. Bucato x la 2a volta (Letto 9178 volte)

56francesco · « **Risposta #20 il:** 08 Mag 2014, 21:35:33 »

Citazione da: aex - 08 Mag 2014, 21:04:32

Gli attacchi sono stati fatti sul .../administrator/index.php

e cosa c'è scritto nel file error.php
e nel componente redirect ci sono le solite porcherie?
avevi delle capcha li dove servivano?

comunque vedo che non ti interessa risolvere il problema, salutiamo.

aex · « **Risposta #21 il:** 08 Mag 2014, 21:44:29 »

Da quello che mi dico ci sono stati una serie ti tentativi (immagino che siano i numeri tra parentesi, che ho tralasciato)

cpu_min: 65.92, ram: 428880.04 MB, disk_read: 0.05 MB, disk_write: 0.15 MB.
cpu_min: 0.45, ram: 2629.45 MB, disk_read: 0.09 MB, disk_write: 0.01 MB.
cpu_min: 0.37, ram: 1944.46 MB, disk_read: 0.04 MB, disk_write: 0.01 MB.
cpu_min: 0.33, ram: 1574.6 MB, disk_read: 0.8 MB, disk_write: 0.0 MB.
ram: 86.55 MB, disk_read: 1.35 MB, disk_write: 0.08 MB.
cpu_min: 0.00, ram: 3.27 MB, disk_read: 1.19 MB, disk_write: 0.36 MB.

Poi mi dicono che provengono tutti dalla index.php

Quindi o sistemo o me ne vado. Ho sistemato (spero). Vediamo nei prossimi giorni.

56francesco · « **Risposta #22 il:** 08 Mag 2014, 21:47:08 »

Citazione da: aex - 08 Mag 2014, 21:44:29

Poi mi dicono che provengono tutti dalla index.php

mi pare abbastanza..
sono spammer, soliti volgarissimi spammer di m.
dai una letta a questo..

http://forum.joomla.it/index.php/topic,241026.0.html

aex · « **Risposta #23 il:** 08 Mag 2014, 22:11:36 »

Letto. Non direi dei veri e propri hacker.
Comunque si, è così. Il file error.php è di 1,5 mb e c'è una sfilza di autenticazioni fallite

Quindi basterebbe impostare un numero massimo di tentativi, con un tempo massimo incrementale, tra un tentativo e l'altro. Poi bloccare l'IP a x tentativi.

Ma il file error.php posso eliminarlo?

56francesco · « **Risposta #24 il:** 08 Mag 2014, 22:28:49 »

pulisci il sito ed usa htaccess

quelli sono spammer, sia chiaro, spammer che cercano spazi da riempire con le loro stringa di m.

PS
gli ip li trovi nel file errop.php
ammesso e non concesso che riesci ad aprirlo se è così grande..

PPS
e nel componente redirect che ci trovi?

56francesco · « **Risposta #25 il:** 08 Mag 2014, 22:32:11 »

dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos (forse portato proprio alle sue macchine) si mette a cacciare via i suoi clienti paganti.

aex · « **Risposta #26 il:** 08 Mag 2014, 22:44:52 »

in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin

aex · « **Risposta #27 il:** 08 Mag 2014, 22:46:40 »

Citazione da: 56francesco - 08 Mag 2014, 22:32:11

dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos (forse portato proprio alle sue macchine) si mette a cacciare via i suoi clienti paganti.

Si, però l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.
Piuttosto non pensavo che dopo 3 volte che sei vittima, ..."sei fuori" [cit.]. Non so se nelle condizioni è previsto il rimborso, almeno del restante.

56francesco · « **Risposta #28 il:** 08 Mag 2014, 22:53:30 »

Citazione da: aex - 08 Mag 2014, 22:44:52

in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin

nel componente stesso
da pannello amministrazione di joomla apri il componente redirect normalmente..

se è pieno di monnezza cestina 50 elementi per volte, poi quando hai finito apri il cestino e li elimini definitivamente 50 per per volta
ricorda 50 per volte, ci vuole pazienza..
io ci ho messo almeno 2 giorni (e notti) per ripulire la macchina (ho una macchina dedicata) ed era tutta attaccata dallo stesso spammer...
purtroppo un killer costa troppo, altrimenti..

aex · « **Risposta #29 il:** 08 Mag 2014, 22:56:13 »

In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.

56francesco · « **Risposta #30 il:** 08 Mag 2014, 22:57:26 »

Citazione da: aex - 08 Mag 2014, 22:46:40

Si, però l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.

ho detto simile, fatto sta che come dice questo utente ci sono le potenzialità per bruciare anche il processore del server...
non ci vuole molto a trovare tutti i domini di uno stesso ip e attaccandoli progressivamente la macchina entra in tilt
quindi è probabile che la vittima fosse proprio l'hoster

ho letto di macchini con dispositivi antiping credo che sia riferito a questo tipo di attacco, ma ripeto non sono attacchi questo è il normale lavoro dello spammer e joomla presta il fianco alla grande.

56francesco · « **Risposta #31 il:** 08 Mag 2014, 22:58:11 »

Citazione da: aex - 08 Mag 2014, 22:56:13

In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.

non via ftp
entra in amministrazione
guarda in alto
menù componenti
redirect
ci clicchi su..
e scopri una cosa nuova.

aex · « **Risposta #32 il:** 08 Mag 2014, 23:03:36 »

Terribile. Vedo che qualcuno ha provato anche con /cpanel, che non uso.
Immagino che posso eliminare questi log...

Ok. Disattivato plugin

56francesco · « **Risposta #33 il:** 08 Mag 2014, 23:08:37 »

Citazione da: aex - 08 Mag 2014, 23:03:36

Ok. Disattivato plugin

furbo tu...

mmleoni · « **Risposta #34 il:** 09 Mag 2014, 07:42:15 »

ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?

56francesco · « **Risposta #35 il:** 09 Mag 2014, 12:18:40 »

ciao mmeloni
basta rileggere quanto scritto finora.

per inciso, ho provato ad aprire un file error.php con il mio computer, ti risparmio la marca, doppio processore, 3 giga di ram, nella partizione ubuntu e quindi con gedit, bene si è accesa la ventola del processore e mentre solo apriva quel file la ventola ha progressivmente aumentato la sua azione, significa che la temperatura saliva, giusto?

una volta aperto il file era impossibile navigare il testo, per leggerlo dopo diversi tentativi sono andato ad intuito, quindi ho evidenziato il messaggio "non hai un account e non hai una passoword" (vado a memoria comunque quello) e quindi ho fatto crl h cioè, trova e sostituisci con .... campo vuoto cioè niente, solo dopo tale operazione il file si è allegerito di tantissimo ed ho potuto leggere gli ultimi ip
se ti pare una favola, vieni qui che ti presto il necessario per verificare..

mau_develop · « **Risposta #36 il:** 09 Mag 2014, 12:31:14 »

Citazione da: M_W_C - 08 Mag 2014, 21:32:53

...guarda che così non puoi affrontare un problema di sicurezza...
ripeto che questo post ci sta tutto ma come psicodramma.

Con un rapporto come dici di avere con l'hoster è difficile risolvere problemi sia che siano tuoi che suoi; forse è questa la prima cosa da considerare.

Poi bisognerebbe capire che cosa vuol dire sovraccarico.
Ogni richiesta lecita o non lecita, malformata, brutta, in aramaico antico hai una risposta dal server quindi basta che io ti floddo di richieste che per loro è "sovraccarico"?
se è così non ti salvi più ..almeno lì

..dai... ci riprovo..

56francesco · « **Risposta #37 il:** 09 Mag 2014, 12:38:43 »

M_W_C da quanto navigo in rete il massimo del minimo è stato sempre considerato il quotarsi da soli..
è un errore di sbaglio o ti sei davvero quotato da solo?

aex · « **Risposta #38 il:** 09 Mag 2014, 17:09:29 »

Citazione da: mmleoni - 09 Mag 2014, 07:42:15

ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?

Niente di tutto questo. Solo il file di log[size=78%] [/size][/size]del redirect destinato ad aumentare e a portare via spazio[size=78%][/size][size=78%].[/size]
Attacchi sequenziali direttamente sulla index, che fanno lavorare troppo il server, col rischio di essere bannati in modo permanente, in seguito a violazione dei termini di servizio

mmleoni · « **Risposta #39 il:** 10 Mag 2014, 09:41:08 »

allora riepiloghiamo:

/administrator/index.php
hai detto che lo/hacker avevano registrato dei loro utenti, ergo è scontato che troverai un sacco di tentativi di accesso alla pagina di login, prima tenteranno qui, poi tenteranno di ripetere l'hack. per bloccare l'accesso alla pagina bastano quattro righe di codice: due in php e due in .htaccess. ne trovi in giro diverse versioni, ve ne una anche sul mio sito, spiegata e commentata, magari ti aiuta a capire un po' come funziona la sicurezza.

com_redirect
qui trovi le pagine non trovate, non gli hacks, se non i tentativi degli imbranati. disattivarlo non dà niente in più dal punto di vista della sicurezza, ma può far perdere dal punto del seo. è comunque inevitabile che si riempa di schifezze; io una volta ogni due mesi verifico e pubblico le routes valide e poi cancello le altre direttamente con una query sul db, questo per dirti quanta spazzatura c'è dentro. nota comunque che 20/30mila righe non sono nulla per un db...

attacchi sequenziali
bisognerebbe vedere il tipo di attacco, ma probabilmente il mio plugin (http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731), con il blocco degli ip, ti potrebbe essere di aiuto. sulla index non dice niente, in joomla /index.php è l'entry point di ogni richiesta, salvo che per gli hack basati su jce...

per una analisi specifica devi vedere i logs di apache, sono gli unici elementi validi per una analisi seria del tipo di attacco.

ciao,
marco

Autore Topic: Disastro totale. Bucato x la 2a volta (Letto 9178 volte)

mau_develop