CIAO A TUTTI, VI TRADUCO DI SEGUITO IL MESSAGGIO DI SHUMISHA, PER CHI NON CAPISSE BENE L'INGLESE, VISTO CHE LUI STESSO MI HA CHIESTO IL FAVORE.
********************************************************************
Ciao, mi dispiace di scrivere in inglese ma non parlo italiano.
Sono stato recentemente allertato sul forum di supporto sh404SEF riguardo al fatto che alcune persone stavano riferendo che sh404SEF non era sicuro.
Sembra che alcuni altri abbiano scambiato il componente 404SEF con il mio componente sh404SEF.
Mi dispiace molto sentire queste voci andare avanti, e mi dispiace che diverse persone ne parlino su questo forum.
Per farla breve:
1- sh404SEF NON E' LO STESSO COMPONENTE DI 404SEFx (un componente non sicuro segnalato su joomla.org come "vulnerabile"). I nomi ed i componenti non sono gli stessi (anche se 404sefx è l'antenato comune sia di sh404sef che di joomsef).
2 - il mio sito è stato hackerato diverse settimane fa. Gli hackers hanno avuto accesso alla mia pass FTP. Per coloro che ne capiscono un po', capirete che Joomla e sh404sef non possono essere coinvolti nel fatto che le pass FTP siano state scoperte, visto che non si trovano da nessuna parte sul sito.
Per quelli che non lo sanno, qui sotto c'è una trascrizione della mia conversazione con il mio supporto server, dove cercavamo di mettere a posto le cose. Questa trascrizione è dedicata particolarmente agli "rollsappletree" (nota: penso che sia tipo "quaqquaraqquà", ma non ne sono certa), che sembrano credere che io abbia mentito riguardo tutta questa storia per nascondere delle vulnerabilità su sh404SEF:
Dusty [12:23]: Dovrebbe funzionare adesso, per te.
[12:25]: c'è qualcos'altro che posso fare per te oggi?
Yannick gaultier [12:26]: OK, ora funziona. Ne prenderò un altro. Attualmente sto guardando tra i logs per cercare di trovare come sono entrati di nuovo. C'è qualcosa di strano. Questa volta ho i logs FTP così come i logs http. E posso vedere che hanno potuto fare degli upload di files sabato 1 settembre:
[12:26]: Sat Sep 01 03:58:07 2007 0 82.128.15.196 389 /home/silianan/public_html/usbank/usbank/submit.php b _ o r silianan ftp 1 * c
Sat Sep 01 03:58:35 2007 1 82.128.15.196 392 /home/silianan/public_html/usbank/usbank/submit.php b _ i r silianan ftp 1 * c
Dusty [12:27]: ok
Yannick gaultier [12:27]: La password globale è stata cambiata il 30 agosto. Come hanno potuto avere accesso alla mia pass FTP ? non è disponibile da nessuna parte sul mio database o sul sito, Huh
[12:30]: In effetti, come possono avere accesso alla mia pass FTP in qualsiasi momento? anche prima che io la cambiassi?
Dusty [12:31]: L'unica maniera in cui qualcuno può prenderti la password è che tu l'abbia data a loro o che tu non abbia usato Secure FTP per fare l'upload
[12:31]: Se usi il normale protocollo FTP, lui manda la password come testo in chiaro.
[12:31]: Se qualcuno ha usato un packet sniffer, possono aver usato la tua password.
Yannick gaultier [12:32]: Sono l'unica persona che usa questo account. La password non è scritta da nessuna parte. quindi, ciò che stai dicendo è che hanno potuto "sniffare" (nota: prendere) in qualche maniera la mia password perché non ho usato Secure ftp per fare l'upload ? Non sapevo nemmeno che avrei potuto usare secure FTP
Dusty [12:33]: Si, puoi; ad ogni modo, per farlo devi abilitare SSH, ma è molto più sicuro di FTP.
Yannick gaultier [12:35]: SSH è già abilitato. Ma dove sarebbero andati a cercare per essere in grado di "sniffare" ciò che sto inviando ? Cioé, dove si sarebbero agganciati per essere in grado di intercettare i dati FTP?
Dusty [12:36]: Possono aver usato un packet sniffer come wireshark
Yannick gaultier [12:38]: Quindi hanno semplicemente "ascoltato" internet, e quando hanno visto un ftp session init packet, hanno preso il nome del dominio, la password, e si sono potuti connettere in seguito?
Dusty [12:39]: E' possibile farlo. Sì.
Yannick gaultier [12:42]: Quindi come faccio ad usare secure FTP ? c'è un documento da qualche parte che lo spiega? Sto usando filezilla
Dusty [12:45]: Se tu hai abilitato SSH tutto ciò che devi fare è cliccare su File->Site Manager, cambiare la porta a 22 e poi nel drop down box seleziona "SFTP utilizzando SSH2"
[12:47]: C'è qualcos'altro che posso fare per te oggi?
Yannick gaultier [12:49]: OK, Ci lavorerò sù e cercherò di usare SFTP d'ora in avanti. Come stavamo dicendo, ho cambiato con successo la mia master password con qualcos'altro.
Quindi tu pensi che il fatto che io abbia trovato degli accessi FTP da parte di queste persone dimostri che questo era il "buco" iniziale? Non so veramente dove andare a cercare altrimenti: joomla, le sue extensions, e mediawiki sono aggiornati.
Dusty [12:50]: Sì, probabilmetne quello è stato il "buco" iniziale.
Yannick gaultier [12:51]: OK. Adesso comincerò a rimettere a posto tutto. Grazie tantissimo. Ricontatterò di nuovo il supporto on-line quando penserò che il sito sia pulito, per la riapertura! Grazie ancora
3 - Ho cercato di capire l'altro post di Zalexo dove ci sono più dettagli riguardo l'intrusione ma, di nuovo, non parlo italiano. Sembra che abbia lo stesso problema che ho avuto io, con delle persone che hanno avuto accesso alla password FPT. Per qualche ragione, lui pensa che questo abbia in qualche modo a che fare con sh404SEF. JOOMLA E sh404SEF non possono essere coinvolti nel dare password FTP perché le password FTP non sono disponibili sul sito. Se un hacker prende la tua pass FTP, può essere soltanto attraverso il tuo host o attraverso pacchetti di "sniffing" mentre sei connesso.
4 - non sono state riferite vulnerabilità per sh404SEF per l'aggiornamento. Nessuna. Zero. Se qualcuno dovesse avere informazioni su qualsiasi vulnerabilità, vi prego di comunicarmelo a shumisha at gmail dot com. Sarà riparato al più presto possibile.
Fino a quando non succederà, vorrei chiedere alle persone di, perfavore, smetterla di spargere false voci sul componente. Non riguarda i soldi, ionon sono uno sviluppatore commerciale, ma è triste vedere ciò che succede, quando metti tante (centinaia) ore di lavoro per sviluppare del software e supportare le persone che lo usano.
Infine, spero che qualcuno possa tradurre questo messaggio o parte di questo messaggio in italiano, così che la gente possa leggerlo, e vorrei anceh ringraziare le persone che hanno cercato di spiegare che 404SEFx e sh404SEF non sono la stessa cosa.
Saluti a tutti
Yannick Gaultier (shumisha)
**************************************************************
Saluti a tutti!
