Problema di sicurezza intrusione e cambio nome utente da sconosciuto

[danielecr]

Quindi il tuo web hoster, o isp, chiamalo come vuoi, ti impedisce l'upload e l'uso di shell php? 

Quando ho scritto che telecom non c'entra era riferito alla problematica che stai riscontrando e la stessa deve essere cercata nella vulnerabilità del tuo ISP

Ma io non ho nessun problema..

Quanto descrivi non è compresa nelle vulnerabilità note di joomla

  ?
 

[amigamerlin]

Quindi il tuo web hoster, o isp, chiamalo come vuoi, ti impedisce l'upload e l'uso di shell php? 

Se lo fanno altri a mia insaputa si !!

Ma io non ho nessun problema..

Ottimo ... allora di che stiamo discutendo?  Probabilmemte ci risentiremo per la stessa problematica  .

Buona fortuna.

[danielecr]

Quindi se sfruttando una falla di joomla, come una sql injection, o una vulnerabilità di una sua estensione e riesco a recuperare il configuration.php, riesco ad accedere al backend o all'ftp, se lo hai configurato, e dal backend o via ftp ti carico una shell, il tuo "isp" se ne accorge?
E' un'intelligenza artificiale pazzesca...
Non lo so, sei tu che hai proposto, a mio avviso erroneamente, di ricercare la causa in quello che tu chiami isp, di caricare un backup dei files, probabilmente infetti, e di effettuare una scansione con il tool online di sucuri, che mai potrà dare un rapporto dettagliato.
Se hai una shell sul tuo spazio col cavolo che sucuri te la trova..

Buona fortuna a te! 

[amigamerlin]

Non lo so, sei tu che hai proposto, a mio avviso erroneamente, di ricercare la causa in quello che tu chiami isp, di caricare un backup dei files, probabilmente infetti, e di effettuare una scansione con il tool online di sucuri, che mai potrà dare un rapporto dettagliato.

Buona fortuna a te! 

1) Allora non sono io ad avere avuto i problemi !!!
2) Non ho chiesto io aiuto al forum.
3) Di solito non si "piallano" i siti infetti con contenuti importanti. Quanto consigliato era il primo passo. Di solito si procede a livelli, ma non è questo il tuo caso; tu preferisci usara la "pialla" 
4) Usa google per tadurre il ink inviato da Marine per comprendere quanto sto cercando inutimente di farti capire.


Overview The IndoXploitPHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. The uploading of files is only one feature of this toolset. The developers of the code look to be based in Indonesia and specialize in PHP hacks.
.....

Vulnerability Description
This PHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. It looks to be a small part of the IndoXploit shell suite of tools used to compromise Content Management Systems running LAMP stacks. The uploading of files is only one feature of this toolset.
Other parts of the toolset not seen in this code include OS Commanding, Mass Defacement, Search for Configuration Files, Jumping to Different User Accounts, Crack Cpanel Passwords, grab SMTP Logins, automatically submit the defaced site to Zone-H, add or edit usernames on various CMSs, and more.
...............

 
Di nuovo Buona fortuna. Credo che presto o tardi riutilizzerai questo thread. 

[danielecr]

Ma forse faresti meglio a leggertelo bene tu il thread, non l'ho aperto io....

[amigamerlin]

Sei stato tu a quotare la mia risposte.

 

[danielecr]

 

Passo e chiudo, leggiti questo:
http://forum.joomla.it/index.php/topic,117151.0.html

Magari se non sei daccordo puoi sempre chiedere a un moderatore di modificare la discussione, soprattutto nella parte in cui si dice:

o chiedete all'hoster di farlo per voi

con

o chiedete all'ISP di farlo per voi

[amigamerlin]

Passo e chiudo, leggiti questo:
http://forum.joomla.it/index.php/topic,117151.0.html

Magari se non sei daccordo puoi sempre chiedere a un moderatore di modificare la discussione, soprattutto nella parte in cui si dice:
con

Eppure hai tutti gli spunti per approfodire ed  incrementare la tua cultura informatica. Si vede che leggi poco.

[miao]

State parlando della stessa cosa   o vi confondete con l'hoster


si l'isp è anche l'hoster!  non grande come tim o fastweb ma è un isp  diciamo di 2° livello perchè il  vero è quello che ti da la connessione internet


ciao



edit : o hanno il server bucato e allora deve chiedere al isp/hoster   o ha un file malevole  ..   isp vero (tim fastweb) non c'entra nulla

[amigamerlin]

Ok, ho provato a piallare la root e istallare tutto da capo, ho tenuto buono solo il db... tenendo db e cartlella immagini non ho perso le modifiche...vediamo che succede.

Mi scuso anticipatamente con Silvio Trisorio per quanto potrà leggere nel suo thread.
Restano comunque validi i contenuti espressi dallo scrivente in relazione alla vulnerabilità del suo ISP in caso di VPS managed o shared hosting.

Infatti sempre ad avviso dello scrivente, se la falla non verrà chiusa, sarà inevitabile, purtroppo, il riproporsi della problematica  .

Discorso diverso se la gestione della VPS è autonoma. In questo caso sempre di falla di sicurezza si tratta ma la "cura" deve essere posta in essere dal gestore della vps.

Sarebbe stato interessante comprendere se l'infezione è avvenuta su una VPS di propria gestione, Managed oppure su uno spazio in Shared hosting per comprendere la probabile estensione dell'hacking stesso.
 
Buona serata e buon anno a tutti.

[tomtomeight]

Dare la colpa al servizio hosting senza cognizione di causa è sbagliato oltre che improprio. Consiglio Silvio Trisorio di leggere le linee guida di questa sezione.

[giusebos]

In ogni caso metti un titolo più esplicativo al tuo post, problema o aiuto o non funziona, non rendono l'idea e sono troppo generici.

è ammesso "vi prego"?