Mi hanno forato il sito, ANCORA!!!!

[dampyrD]

sempre che non sia presente qualche schifezza sul server....

[zalexo]

sempre che non sia presente qualche schifezza sul server....

Infatti questa è la mia preoccupazione, gli ho scritto per segnalargli il problema, immagino che lo staff stia lavorando per rendere sicuro il server e darmi la possibilità di rimettere online tutto.

boh...

ciao

[dampyrD]

comunque stamani ho vistato il tuo sito, problemi non ne ho avuti linux aiuta.... 

[bobighorus]

Da quello che ho visto assieme a Zalexo hanno eseguito un defacement, riscrivendo le pagine index.php e global.php con un redirect verso il sito del simpatico lamer.
Credo, però, che sia piuttosto improbabile che si sia impadronito dei DNS, come dimostrato dal ping.
Il fatto, comunque, è che il tizio è piuttosto bravo: nonostante il cambio di pass dell'ftp, riesce sempre a bucare il sito.
A questo punto, a meno di elementi soprannaturali, le cause non possono essere molte:
1)una backdoor da qualche parte nel server (facilmente verificabile dai log)
2)una backdoor da qualche parte nel backup (facilmente verificabile dai log)
3)sniff della password ftp in qualche maniera (zalexo, non è che hai un trojan nel pc?)
4)sql injection su qualche componente.
Io farei così: reinstallerei il backup e il db, chiuderei permessi su file e cartelle e starei un attimo a vedere cosa accade.
Se il tizio lo viola di nuovo allora non c'è altra storia che armarsi di pazienza e leggere i log. Punto.

[dampyrD]

i dns sono ok basta andare a vedere http://www.nic.it/cgi-bin/Whois/whois.cgi

il problema è che secondo me han lasciato qualcosa sul server perchè se ha già rispalmato un backup via ftp e il db non ci sono altre operazioni che l'utente possa fare,considerando che non ha i log....

[bobighorus]

i dns sono ok basta andare a vedere http://www.nic.it/cgi-bin/Whois/whois.cgi

giusto!

il problema è che secondo me han lasciato qualcosa sul server perchè se ha già rispalmato un backup via ftp e il db non ci sono altre operazioni che l'utente possa fare,considerando che non ha i log....

Beh comunque può anche darsi che non sia colpa del server: se il tizio ha trovato un baco in qualche componente e si serve sempre dello stesso o ha lasciato nel backup (che è molto recente) una backdoor, passa sempre di lì.
Per scoprirlo si possono esaminare i log.

[dampyrD]

che nessuna ha tranne l'hosting.... 

[cos]

Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....

immagino che quelli di joomlahost non hanno tempo per guardare i log del tuo sito.. forse pagandoli... ;-))

Dovrebbero darli di default   quale pagare

se è unico modo per capire  da dove arriva  l'intrusione

ne va anche degli altri siti ospitati

[zalexo]

Il mio pc è pulito.

C'è Vista, con antivirus e firewall.

Io capisco che il problema sia nel log, ma cacchio un mio dominio, intestato a me è sotto le mani di questa persona, backup o non backup questo non cambia visto che il sito è vuoto e le pagine continuano ad essere indirizzate al suo sito.

Quindi ora joomlahost deve mettermi in sicurezza il server, e solo allora potrò ricaricare su la copia del sito che sto rifacendo da un'altra parte.

Io sto già perdendo troppe ore di lavoro, sonno eccc...

[dampyrD]

oddio...vista lo reputo uno dei peggio SO usciti.. comunque spero che presto trovino il problema.

[surfbit]

oddio...vista lo reputo uno dei peggio SO usciti.. comunque spero che presto trovino il problema.

sopratutto meglio non fidarsi di firewall già installati.

[zalexo]

cmq sto provando a ripulire tutto il pc.

non posso fare altro visto che nessuno mi risponde e non mi sanno dire nulla.

[dampyrD]

cmq sto provando a ripulire tutto il pc.

non posso fare altro visto che nessuno mi risponde e non mi sanno dire nulla.

questo è grave, è comprensibile che un cliente non in grado di capire dove sta il problema infatti credo sia compito dell'hosting intervenire, soprattutto perchè a rischio c'è la stabilità dell'intero server colpito.

Confido comunque nella capacità dei tecnici dell'hosting, io per ora mi ci sono trovato bene.

[zalexo]

Anche io non posso lamentarmi, ci stanno lavorando.

Però non riesco a farmi dire nel log da dove sono entrati.

[k0nan]

sempre che non sia presente qualche schifezza sul server....

sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site

[dampyrD]

sempre che non sia presente qualche schifezza sul server....

sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site

nel messaggio in homepage del progetto riporta:

Hi all,

This site has been unavailable for the last few hours, again! My hoster, Bluehost, has suspended my account, as they have detected, again, "phishing" sites activity from my webspace. This time I had access to the FTP logs, and I realized hackers had full FTP access, meaning they knew my password (which obviously is not available on the site)!

It pleased me, sort of, as it means Joomla and Mediawiki are not involved in the security breach. Bluehost suggested that my password could have been "sniffed" from the outside. Kinda difficult to swallow, as I had changed it after the first episode. Anyway, I'll be using Secure FTP from now on, so I should be pretty safe.

Hopefullly, I am through with this. Coupled with my changing of programming environnment, sh404SEF has not evolved during the last week, while there is still much to do!

Cheers!

[bobighorus]

Si, eravamo a conoscenza di quel messaggio;ma non ci aiuta granchè; ci dice solo che al tipo hanno sniffato la pass ftp ma non ci dà nessun indizio in merito a quanto accaduto a zalexo.

[dampyrD]

veramente era in risposta a chi chiedeva se la versione sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site

ora che ci penso se sono riusciti a sniffare la passw ftp sul server c'è il rischio di uno sniffer installato lato server tanto per cominciare...con i danni che ne derivano.

 

[bobighorus]

veramente era in risposta a chi chiedeva se la versione sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site

Si si, infatti Dal messaggio non si evince, ma Zalexo mi diceva che i lamer hanno dichiarato di essere passati di lì,sfruttando un bug... non saprei...la situazione non è ancora molto chiara.

ora che ci penso se sono riusciti a sniffare la passw ftp sul server c'è il rischio di uno sniffer installato lato server tanto per cominciare...con i danni che ne derivano.
 

Si è possibile...ma io sono più propenso a pensare ad un defacement tramite sql injection, magari proprio da sh404sef...

[bobighorus]

Aggiornamento.
Nota lasciata dai lamer nel defacement:

Are we debugging???
Killed at line 106 in sef404.php: HEADERS ALREADY SENT (200)
URL=http://www.zalexo.itoption=com_content&task=view&id=46&Itemid=66:
OPTION=com_content:

A quanto sembra hanno sfruttato una vulnerabilità di sh404sef per fare dell'sql injection ed effettuare il defacement inserendo script in "index.php" e "globals.php".