Sito Hackerato | new SuperUser + backdoors

[ValyaLady]

Apro questa discussione nel caso in cui altri si possano trovare nella mia situazione

versione Joomla 3.6.2
un unico Account Utente (il mio Super User)

Cosa mi é successo

Dal lato Sito
Ho trovato nuovi strani articoli apparsi sul sito e alcuni cambiamenti (in inglese su sito italiano-francese)

Dal lato Amministratore
Ho visto che gli articoli erano pubblicati da un autore sconosciuto "newsuperuser"
Ho trovato un nuovo Super User "newsuperuser" con tutti i permessi
Cercando nelle estensioni ho trovato nuove installazioni che non erano opera mia:
xmlrpc-joomla - Sito - Pacchetto - Yoshiki Kozaki
System-RSD - Sito - Plugin - Yoshiki Kozaki
XMLRPC-Joomla - Sito - Plugin - Yoshiki Kozaki
XMRPC - Amministratore - Componente - Yoshiki Kozaki
Ho trovato un nuovo backup (Akeeba)
Ho trovato installato il pacchetto lingua Cinese Tradizionale

non ho blog o funzioni di questo tipo installate
il sito indicato da questi pacchetti é in lingua asiatica a me sconosciuta (joomler.net)
cercando su internet ho scoperto che ci sono stati altri "attacchi hacker" che utilizzavano XMRPC creando backdoors

Dal lato FTP
ho trovato nuove cartelle (xmlrpc e altro) e nuovi files installati in vari percorsi del sito (system, plugins etc.)

Cosa ho fatto (sperando che sia bastato)

Dal lato Amministratore
Ho eliminato il nuovo Super User (prima abbassando i privilegi da Amministratore a Guest)
Ho eliminato gli articoli e le modifiche (spero di averli trovati tutti)
Ho disinstallato le 4 estensioni (e anche la lingua Cinese Tradizionale)
Ho vuotato cache e cestino

Dal lato FTP
ho controllato le cartelle e i file per verificare se fossero rimasti elementi sospetti

Ora SEMBRA tornato tutto alla normalità

SPERO di aver risolto
sto ancora facendo verifiche e controlli

[giusebos]

No non credo, il tuo sito è stato violato fortemente, l'haker ti ha installato estensioni e aggiunto chissà quali file, non starei tranquillo per niente.

Solo una nuova installazione dopo aver cancellato tutto può farti avere un buon grado di sicurezza, ammesso che il server non abbia problemi, poi recupererai gli articoli dal database.

[ValyaLady]

quindi dovrei prendere nota di ogni estensione, plugin, configurazione etc... e ripartire da zero?
intendo reinstallando sia Joomla che tutto il resto

[Alex21]

quindi dovrei prendere nota di ogni estensione, plugin, configurazione etc... e ripartire da zero?
intendo reinstallando sia Joomla che tutto il resto

Sarebbe la cosa migliore.
Ho cercato di capire cosa sia XMLRPC. Sembra una specie di shell forse modificata dall' hacker. Permette di risalire parecchio, anche oltre il vhost se il server aveva buchi.
C'erano anche tabelle nuove o dei link simbolici?
Beh, buon lavoro.
Ciao!

[ValyaLady]

Controllando il DataBase... pare non ci siano tabelle nuove
Controllando i files più a rischio... sembra non ci siano stringhe aggiuntive

Controllando la cronologia estensioni... ho eliminato tutte quelle "nuove"
Gli articoli aggiunti sono stati eliminati e i moduli controllati

Nel frattempo ho sovrascritto il core di Joomla
Il controllo sicurezza di Google dice che il sito é OK

CHIARO CHE se é consigliabile mi preparerò ad installare tutto ex novo
anche se (é un sito per la protezione animali con donazioni + gatti da adottare + shop tazze artigianali + mooolte altre funzioni) sarà un lavoro ENORME considerando tutte le estensioni presenti

[giusebos]

più che consigliabile è la strada obbligatoria se non vuoi ritrovarti nuovamente il sito compromesso, inutile guardare il database con gli occhi, con tutto il rispetto, di un incompetente (altrimenti non eri qui).

Pialla tutto e ricostruisci è l'unica strada che puoi percorrere, approfittane anche per cambiare hosting e/o migliorare la sicurezza del server.

[MariaElenaBoschi]

joomla 3.6.2 aggiornato partendo da che versione? Perchè le xmlrpc esistevano in joomla ma nella 1.5 poi, dalla 1.6 fino alla 2.5 sono cambiate https://docs.joomla.org/J2.5:Xml-rpc_changes_in_Joomla!

Per fare le stesse cose nella 3 credo (ma non vorrei dire eresie) si usi il client di joomla

[ValyaLady]

avevo seguito tutti gli update di Joomla

ora mi preparo ad una re-installazione totale (come suggerito)... ma aspetto il 25 per la 3.6.4