Back to top

Autore Topic: [Risolto] L'attacco Hacker continua  (Letto 11488 volte)

Offline Altor

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
[Risolto] L'attacco Hacker continua
« il: 10 Ago 2016, 07:07:22 »
Ho cambiato due volte le password di accesso all'hosting e all FTP. L'accesso all'hosting avviene con doppia password
Rifatto un sito (ora ha joomla di base 3.48)
Gli altri sono irrangiungibili, errore 500 e pagine bianche
Impossibile accedere come amministratore (prima era possibile)
Nonostante il cambiamento delle password ho notato l'accesso ai file dei siti dove hanno modificato
- robots
- index
- templates - css
 Gli Ip portano tutti in America

i siti sono questi
www.infothaiweb.com
www.reallyyes.com
www.webonwork.com

Se i siti web sono irragiungibili come fanno a modificarli ed entrare nell'hosting?
Scusate se sono petulante
Posso rifare anche gli altri ma se hanno trovato il modo di entrare avrò sempre lo stesso problema



« Ultima modifica: 07 Set 2016, 13:32:09 da Altor »

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 32046
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #1 il: 10 Ago 2016, 07:12:52 »
Se li rifai con vecchie versioni è normale quello che ti accade.

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #2 il: 10 Ago 2016, 07:33:08 »

Se i siti web sono irragiungibili come fanno a modificarli ed entrare nell'hosting?
Scusate se sono petulante
Posso rifare anche gli altri ma se hanno trovato il modo di entrare avrò sempre lo stesso problema

Il problema non sono le password ma sono le vulnerabilità oramai note della versione di CMS che stai utilizzando.
Quindi non entrano con le password ma effettuano degli attacchi cross scripting (xss) o sql injection.
Devi aggiornare il CMS all'ultima versione e poi ripristinare il tutto.

Ciao

Offline Altor

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #3 il: 10 Ago 2016, 08:19:54 »
Uso la versione 3.48 per www.infothaiweb.com
e 3.41 per gli altri siti

Vorrei aggiornare alla versione 3.6.2 ma ho letto che da qualche problema

Potrei rifare tutto con la nuova versione.
Se ripristino i backup non ripristino le vecchie versioni?
Alberto

Ps
Paradosso
www.infothaiweb.com improvvisamente è tornato visibile per il momento

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 32046
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #4 il: 10 Ago 2016, 08:25:32 »
Le versioni bisogna aggiornarle prima che vengono compromesse, Gli ev entuali rischi di problemi durante gli aggiornamenti, capita,  sono sempre minori dei rischio di compromissione del sito e comunque i rischi di problemi durante gli aggiornamenti sono facilmente e prontamente superabili da backup preventivi.
Ora col sito compromesso non sarai mai sicuro di ripulirlo in toto, consiglio un rifacimento con export import contenuti e poi di prendere l'abitudine di tenerlo aggiornato insieme alle estensioni.

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #5 il: 10 Ago 2016, 08:51:53 »
Uso la versione 3.48 per www.infothaiweb.com
e 3.41 per gli altri siti

Vorrei aggiornare alla versione 3.6.2 ma ho letto che da qualche problema

Potrei rifare tutto con la nuova versione.
Se ripristino i backup non ripristino le vecchie versioni?
Alberto

Ps
Paradosso
www.infothaiweb.com improvvisamente è tornato visibile per il momento

Parto dal presupposto che il Backup in tuo possesso è integro, qualsiasi sia la sua versione di Joomla in esso contenuto.

Ripristina il backup ed esegui l'aggiornamento al 3.6.2 esclusivamente via FTP. Una volta collegato, (via FTP) sovrascrivi i file contenuti (non sostituire) ed assicurati che i permessi assegnati ai file siano quelli corretti. Una volta ultimato il trasferimento FTP, collegati lato Admin vai in Estensioni ---> Gestione---> Database e clicca sul pulsante correggi.
Fatto questo dovresti avere tutto funzionante.
Il 3.6.2 non ha alcun problema se aggiorni via FTP. Con alcuni ISP l'aggiornamento lato Admin può causare qualche problemino.

PS: Assicurati di avere tutti i componenti /moduli/plugin all'ultima versione.
Buona fortuna.
« Ultima modifica: 10 Ago 2016, 08:53:44 da amigamerlin »

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #6 il: 10 Ago 2016, 09:22:04 »
Altra buona norma ... installa solo i componenti / moduli / Plugin strettamente necessari e tienili aggiornati al pari del CMS. Non installare roba che pensi di utilizzare poi. Installa solo "al momento del bisogno"  :D . Te ne ringrazierà in primis la velocità operativa del sito, in secundis il database, in terzis la sicurezza del sito stesso.

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21748
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #7 il: 10 Ago 2016, 10:13:49 »
Citazione
........Vorrei aggiornare alla versione 3.6.2 ma ho letto che da qualche problema......


Forse non hai letto dei consigli e delle soluzioni ;)
« Ultima modifica: 10 Ago 2016, 14:43:05 da giusebos »
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline Altor

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #8 il: 10 Ago 2016, 14:05:19 »
Aggiornati due siti alla versione 3.6.2 via FTP e Seguendo le istruzioni
Un sito funziona
Uno riesco ad accedere come amministratore
Da entrambi sono sparite le lingue.
Da gestione estensione non si riesce a trovare la lingua italiana e quella Thai
MI da questo errore
"The requested URL /webonwork/en/ was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request."
Sicuramente è risolvibile
Domani Proverò con il terzo sito e da ultimo quello più importante
I backup dovrebbero essere integri

Fortunatamente ne ho fatti due prima dell'attacco


Grazie
« Ultima modifica: 10 Ago 2016, 14:13:01 da Altor »

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #9 il: 10 Ago 2016, 14:37:21 »
.... I backup dovrebbero essere integri

Il condizionale non giova e non aiuta.
Salvo errori nel DB procedendo nel modo seguente dovresti risolvere tutti i tuoi problemi relativi a files incoerenti:

1) Scarica il Pacchetto: Joomla_3.6.2_ita-Stable.zip;
2) Scompattalo in locale;
3) Elimina la directory installation;
4) Via FTP sovrascrivi i file del tuo sito.

Questo dovrebbe garantiti che tutti i file del CORE di joomla siano integri e di conseguenza anche i files lingua.

Ciao

Offline Altor

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #10 il: 12 Ago 2016, 09:35:17 »
Ho ripristinato i vecchi backup
tutto funziona.
I siti dovrebbero essere puliti (il backup era stato fatto prima degli attacchi)
Ora procederemo nuovamente agli aggiornamenti di joomla 3.6.2 sito per sito.
Ora sono tutti alla versione 3.4.8 e tutti i compoanenti aggiornati.
Una domanda:
Come posso sapere se i siti sono veramente puliti? google ogni quanto analizza il sito?
Grazie dei consigli preziosi
Alberto

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 32046
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #11 il: 12 Ago 2016, 12:36:40 »
Fai una scansione su sucuri

https://sitecheck.sucuri.net//

in ogni caso la sicurezza piena è difficile averla, i malware possono essere dormienti e attivarsi dopo molto tempo rendendo inutili anche i backup, in verità una situazione nera come questa è molto rara, anche se a me è capitata molto tempo fa e su  vecchia versione non aggiornata.

Offline Altor

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #12 il: 13 Ago 2016, 05:42:01 »
Ho fatto una prova
ho testato i siti con https://sitecheck.sucuri.net//
Bollino verde ma con il suggerimento di aggiornare al più presto la versione di joomla.

Aggiornato un sito alla versione 3.62, reinstallato template e componenti e aggiornati.

Fatto la scansione di questo sito.
risultato bollino rosso.
Infezione con "Infected With SEO Spam" - Immediate Action is Required
Da quello che ho capito si tratta di una specie di porta che riporta ad altri siti, con un script
Basta cancellarlo..
Dove si annida questo spam?

Proverò ad aggiornare anche il secondo sito e vediamo cosa succede.

Grazie



Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #13 il: 13 Ago 2016, 11:14:19 »
Sicuramente la scansione rileva la presenza dei file infetti, ma a mio avviso, se hai ripristinato secondo la seconda procedura il Malware non viene "attivato" in quanto non viene richiamato e quindi attivato da nessun file.
Ovviamente preoccupati di reinstallare anche i vari componenti / moduli / Plug-in  non inclusi nella distribuzione di Joomla.

Dai anche un'occhiata e valuta se eseguire o meno quanto in presente in questo link.
« Ultima modifica: 13 Ago 2016, 11:19:06 da amigamerlin »

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 32046
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #14 il: 13 Ago 2016, 11:27:39 »
@amigamerlin

Sovrascrivere i file non garantisce che file infetti vengano eliminati.

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #15 il: 13 Ago 2016, 11:46:22 »
@amigamerlin

Sovrascrivere i file non garantisce che file infetti vengano eliminati.

Corretto ... i file infetti rimangono ma sono degli zombie in quanto non sono richiamata da nessun file PHP.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 32046
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #16 il: 13 Ago 2016, 11:52:29 »
No, i file zombie vengono richiamati dall'hacker, magari con script chron, così anche dopo la pulitura riprendono il controllo.

Offline maxzilla

  • Appassionato
  • ***
  • Post: 620
  • Sesso: Maschio
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #17 il: 13 Ago 2016, 11:55:09 »

Citazione
Corretto ... i file infetti rimangono ma sono degli zombie in quanto non sono richiamata da nessun file PHP.

Ciao
tu dici che il 100% di questi files restano zombi? un piccolo dubbio mi rimarrebbe
Ikonart Informatica - Trento

"Mangia prodotti italiani. W il made in Italy"

Offline amigamerlin

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 81
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #18 il: 13 Ago 2016, 11:59:46 »
No, i file zombie vengono richiamati dall'hacker, magari con script chron, così anche dopo la pulitura riprendono il controllo.

sono reduce di 2 infezioni. A me non è mai successo. Nel mio caso l'infezione partiva dal file index.php del template.

Offline maxzilla

  • Appassionato
  • ***
  • Post: 620
  • Sesso: Maschio
    • Mostra profilo
Re:L'attacco Hacker continua
« Risposta #19 il: 13 Ago 2016, 12:03:43 »
ma i casi che si possono presentare non sono tutti uguali ai tuoi

Comunque, per darti un consiglio Altor, io rimuoverei i files sospetti o contenenti potenziali minacce
« Ultima modifica: 13 Ago 2016, 12:07:08 da maxzilla »
Ikonart Informatica - Trento

"Mangia prodotti italiani. W il made in Italy"

 



Web Design Bolzano Kreatif