Back to top

Autore Topic: Mi hanno forato il sito, ANCORA e ANCORA!!!!!  (Letto 59723 volte)

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #60 il: 10 Feb 2008, 17:29:20 »
tutti i file index.php index2.php e index.html

vanno riprisitati perchè sono stati tutti modificati

un lavoraccio!!
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline marco

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #61 il: 10 Feb 2008, 17:32:17 »
se non avete un backup del sito come si dice sono ucelli per diabetici  :) dopo ripristinato il sito modificate il .h e per un po dovrebbe tenere  :)

Offline zalexo

  • Appassionato
  • ***
  • Post: 520
  • Sesso: Maschio
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #62 il: 10 Feb 2008, 17:32:46 »
In tutte le cartelle?

LO FANNO LORO!!!!
Corsi Joomla e SEO -  SEO Web Agency - Romagna Joomla Beach  NON MANCARE!!!!

Offline marco

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #63 il: 10 Feb 2008, 17:35:17 »
loro chi aiutati che dio ti aiuta  :)

Offline maxdg

  • Esploratore
  • **
  • Post: 158
  • Sesso: Maschio
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #64 il: 10 Feb 2008, 17:35:31 »
hanno approvato la class action da qualche tempo i nostri governanti
la famosa causa collettiva....
per chiarimenti
http://www.classaction.it/CLASS_ACTION_Codice_consumo_art_140bis.pdf

Mi associo.
"Okey gua'da, se tu vienei qui, vienei qui solo pe' dire che non vienei" (C.Boulet - MWAT)

Offline Francky

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #65 il: 10 Feb 2008, 17:40:57 »

server 81.31.151.33

anche io sul 33 .... non mi sono accorto l'ora, ma ora e' giù lui e i 4 sottodomini, tutti attaccati allo stesso modo  :'(
Spero che risolvano presto

Offline cotoletta

  • Nuovo arrivato
  • *
  • Post: 5
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #66 il: 10 Feb 2008, 17:49:36 »
scusate, io tramite ticket ho richiesto l'ultimo backup anche perchè tra le caratteristiche dei servizi indicano:
- backup settimanale

Speriamo bene  >:(

Offline ale1976

  • Appassionato
  • ***
  • Post: 264
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #67 il: 10 Feb 2008, 17:51:29 »
Io ragazzi ho un backup intero, una volta ripristinato, cosa si puo' fare per mettere al sicuro il sito da altri attacchi ?
Intendo comunque che il sito deve essere navigabile, ovviamente.
Grazie.

Offline marco

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #68 il: 10 Feb 2008, 17:54:54 »
devi inserire questa regola nel file .h

RewriteEngine  on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]



Offline ale1976

  • Appassionato
  • ***
  • Post: 264
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #69 il: 10 Feb 2008, 18:01:56 »
Scusa fammi capire bene nel file .htaccess dovrei mettere questo sotto, ma in che posizione? :

RewriteEngine  on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://www.pippo.it [R,L]

Grazie

Offline marco

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #70 il: 10 Feb 2008, 18:06:24 »
no devi mettere come ho messo io 127.0.0.1 no il tuo dominio

Offline marco

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #71 il: 10 Feb 2008, 18:12:21 »
Poi credo che basta chedere aiuto a joomlahost che avranno la soluzione al problema io ho trovato questa soluzione ma no so se sia la più efficace.

Offline gianmarcoes

  • Esploratore
  • **
  • Post: 58
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #72 il: 10 Feb 2008, 18:27:56 »
NOOOO!
www.podmast.it su joomlahost.
E' da poco uscita la puntata della radio, traffico immenso ed immensa figura di mer***. Non ho backup, come faccio? Cavolo, non co voleva proprio!

Offline k0nan

  • Appassionato
  • ***
  • Post: 307
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #73 il: 10 Feb 2008, 18:31:16 »
cioe', veramente.... non ho parole  :'( :'( :'( :'(

la domenica e' l'unico giorno libero che ho, e devo stare qui a controllare la situazione  :'( :'( :'( :'(


ed la cosa bella e' che non posso ricevere le email dall'assistenza perchè anche il mio sito e bloccato




Anche questo: http://www.quadstore.it/ su ip dedicato 81.31.151.38 FORATO!!!

Fantastico....

quadstore.it è di un mio cliente.

ne ho molti altri , tutti giu.

una domenica bellissima.
VM Italia - Supporto italiano a virtuemart - http://www.vmitalia.net

VirtueMart Dev Team Member - User Interface - http://www.virtuemart.net

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #74 il: 10 Feb 2008, 18:35:06 »
li hanno passati tutti dal .32 al .38
leggendo sul forum di joomlahost anche i siti in wordpress e in semplice html sono stati forati, io entrando dal plesk ricevo un sacco di errori, che abbiano scovato una falla nel plesk?

i siti nel nuovo pannello funzionano tutti correttamente
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline Spike1

  • Appassionato
  • ***
  • Post: 297
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #75 il: 10 Feb 2008, 18:36:34 »
@Marco, la tua soluzione (non ho verificato la correttezza, ma conosco il tipo di problema che va a risolvere) è valida solo per attacchi diretti che tipicamente cercano di sfruttare falle di sicurezza allo scopo di utilizzare il dominio attaccato per inclusioni da remoto di qualsiasi file.

A me pare evidente che qui si tratti di tutt'altro, ovvero (magari sfruttando questo tipo di falla, ma non è detto) sono riusciti ad entrare nel (nei) server e quindi stanno procedendo a defacciare tutti i domini (ma per l'appunto, sembrerebbe dall'interno, non da attacchi diretti ai singoli domini dall'esterno).

Inoltre, nella stragrande maggioranza dei casi l'uso del libwww-perl viene fatto, come detto, per le inclusioni da remoto e affinchè possa funzionare necessita che la macchina consenta le inclusioni da remoto. In un hosting condiviso dubito che siano abilitate le inclusioni da remoto, ma se così fosse (da pazzi...) basterebbe disabilitarle a livello server.

Il problema però, è individuare ora cosa hanno caricato sul server, perchè finchè non si elimina (e si controlla tutto il server), questo tipo di intervento non serve a nulla.

Ancor meno serve ripristinare i file index, se non a tirar su i siti (ma se hanno avuto accesso di root al server... potrebbero tranquillamente aver messo su uno scriptino che sostituisce i files index e attivato un cron job che lo esegua continunamente....)

Insomma, serve l'intervento immediato di chi gestisce i server.
Paolo De Dionigi
Responsabile tecnico Zen Cart Italia

Offline gianmarcoes

  • Esploratore
  • **
  • Post: 58
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #76 il: 10 Feb 2008, 18:37:06 »
neanche joomlahost mi apre...non posso aprire ticket, nulla...

Offline k0nan

  • Appassionato
  • ***
  • Post: 307
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #77 il: 10 Feb 2008, 18:37:11 »
li hanno passati tutti dal .32 al .38
leggendo sul forum di joomlahost anche i siti in wordpress e in semplice html sono stati forati, io entrando dal plesk ricevo un sacco di errori, che abbiano scovato una falla nel plesk?

i siti nel nuovo pannello funzionano tutti correttamente

può darsi sia un errore di configurazione sui permessi.

riguardo all'htaccess da inserire non ho ben capito , la regola sarebbe

Codice: [Seleziona]
RewriteEngine  on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]

con al posto dell'ip del localhost l'ip del nostro sito, o il dominio del nostro sito, o semplicemente lasciando il localhost ?
VM Italia - Supporto italiano a virtuemart - http://www.vmitalia.net

VirtueMart Dev Team Member - User Interface - http://www.virtuemart.net

Offline k0nan

  • Appassionato
  • ***
  • Post: 307
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #78 il: 10 Feb 2008, 18:39:02 »
la questione è divertente

un giorno di business in meno per ogni cliente più le ricadute su chi usufruisce di joomlahost come partner per i servizi web.

nota: i siti su directadmin non sembrano soffrire del problema.
VM Italia - Supporto italiano a virtuemart - http://www.vmitalia.net

VirtueMart Dev Team Member - User Interface - http://www.virtuemart.net

Offline k0nan

  • Appassionato
  • ***
  • Post: 307
    • Mostra profilo
Re: Mi hanno forato il sito, ANCORA e ANCORA!!!!!
« Risposta #79 il: 10 Feb 2008, 18:40:29 »
dimenticavo

avete notato differenze nelle tabelle dei db di una certa rilevanza (user nuovi etc.. ) ?

VM Italia - Supporto italiano a virtuemart - http://www.vmitalia.net

VirtueMart Dev Team Member - User Interface - http://www.virtuemart.net

 



Web Design Bolzano Kreatif