Autore Topic: Mi hanno forato il sito, ANCORA e ANCORA!!!!! (Letto 58245 volte)

Burroughs · « **Risposta #120 il:** 10 Feb 2008, 20:42:19 »

Anch'io mi ritrovo col sito defacciato.
Ora, a parte che debbono essere loro a ripristinare il tutto, quello che mi preoccupa di più è il fatto che non riesco ad aprire alcun ticket.
Se cerco di loggarmi dalla loro homepage, all'url <http://www.joomlahost.it>, mi si dice che le mie credenziali non sono corrette e che, essendo al terzo tentativo(!!!), il mio account viene disabilitato.
Anche a voi capita la stessa cosa?

Burroughs.

Luca Curatola · « **Risposta #121 il:** 10 Feb 2008, 20:44:21 »

Un defacement può derivare da molti fattori, non ultimo la configurazione del webserver.

thuridilla · « **Risposta #122 il:** 10 Feb 2008, 21:00:06 »

tutti i domini su 81.31.151.26
danno, da quanto vedo io, 500 internal server error

Luca Curatola · « **Risposta #123 il:** 10 Feb 2008, 21:21:20 »

Leggendo dalla pagina del defacement:

Citazione

uid=0(root) gid=0(root) groups=2524(psacln)

Sono root su quella macchina e il gruppo psacln mi ricorda tanto qualcosa legato a plesk.

In questi casi la soluzione è quella di ripristino dei dati da un backup sicuro su una macchina pulita e aggiornata, poi analisi approfondita sulla macchina bucata.

ale1976 · « **Risposta #124 il:** 10 Feb 2008, 21:23:46 »

Il casino lo fa' solo joomlahost è colpa loro e basta, visto che anche semplici siti html e con altri cms hostati sul loro server sono stati defacciati, non è colpa certamente di joomla....si' magari ce lo daranno a pensare...

Luca Curatola · « **Risposta #125 il:** 10 Feb 2008, 21:27:31 »

Non ne sarei così sicuro, magari l'accesso ai defacer è stato causato proprio da una vulnerabilità presente su qualche vhost, difficile dirlo.

Certo è che la macchina ora è sicuramente compromessa.

Bettinz · « **Risposta #126 il:** 10 Feb 2008, 21:29:22 »

STOOOOOOP!!!!!!!!!!!

Allora, ribadiamo:
1) Su questo FORUM è VIETATO fare riferimenti a prodotti COMMERCIALI.
Finchè si parlava di Joomla ok, ma non è corretto fare riferimenti all'hosting..
alla prossima chiudo il topic, e non voglio farlo..
confido nella vostra intelligenza (ho 2 siti down anche io e so cosa vuol dire, per fortuna il mio blog è su altri lidi

)

nixan75 · « **Risposta #127 il:** 10 Feb 2008, 21:42:52 »

sembra che qualcosa si stia muovendo, i miei siti attaccati stanno pian piano tornando visibili

paoleos · « **Risposta #128 il:** 10 Feb 2008, 21:50:35 »

E' tornato in vita anche il mio...
Avevo sostituito tutti gli index.* ma non era servito.
Per fortuna era saltato solo un sito di quelli che avevo sullo stesso hosting.
Se tutto torna a funzionare bene direi che per l'entità dell'attacco quelli dell'hosting incriminato se la stanno cavando benino. Parlo da niubbo e per niente esperto del settore.

Daniele Pinna · « **Risposta #129 il:** 10 Feb 2008, 22:17:19 »

Io ho sei dominio con il plesk sul .26

Sto controllando via FTP ora uno dei domini e ho notato alcuni file modifica in data di oggi (e io oggi non ho fatto nessuna modifica):

I file modificati, almeno nella cartella principale sono:
- configuration.php modificato il 10-02-2008 alle 6.06.00
- frosty.html modificato il 10-02-2008 alle 18.41.00

Questo frosty. html ha come proprietario
root root
mentre tutti gli altri file e cartelle hanno il mio user ftp e psacln che mi pare di capire sia l'utente del plesk

Il contenuto di questo file è il seguente:

Citazione

h4ck3d by t3h fr0st3y h4ck3r! b4ck ag3n w1th uid=0!

Luca Curatola · « **Risposta #130 il:** 10 Feb 2008, 22:19:11 »

Come ha fatto notare Bettinz, questa discussione dovrebbe risiedere sul forum di joomlahost.

salllvo · « **Risposta #131 il:** 10 Feb 2008, 22:28:58 »

Ragazzi anche io sono stato vittima di questo attacco al server in cui è caricato il mio sito, cmq la mia homepage è ritornata visibile anche se ancora nn riesco ad accedere al pannello amministratore e al forum. In ogni caso l'importante è che qualcosa si sta muovendo e che stanno cercando di rimediare al problema. Speriamo che riescono a ripristinare tutto nel minor tempo possibile.

gianmarcoes · « **Risposta #132 il:** 10 Feb 2008, 22:31:50 »

io ho aperto un tichket sei ore fa...ma il sito è ancora oscurato purtroppo

Luca Curatola · « **Risposta #133 il:** 10 Feb 2008, 22:37:26 »

Scrivete sul forum di supporto di joomlahost, che non è questo...

carlo_gra · « **Risposta #134 il:** 10 Feb 2008, 23:01:42 »

Citazione da: Luca Curatola - 10 Feb 2008, 22:37:26

Scrivete sul forum di supporto di joomlahost, che non è questo...

Ciao a tutti, chiederei ai mod di bloccare il post (ma di non eliminarlo) perchè non ha senso che i nostri utenti vengano a lamentarsi sulle boards della community.

Come ha detto giustamente Luca, questo NON è e NON deve essere anche il forum di JoomlaHost.

Sul nostro sono presenti due o tre discussioni sulle quali potrete continuare a scrivere.

Ad ogni modo il siti sul .33 e sul .36 sono tornati up da poco.
Sul .26 ci stiamo lavorando.
Appena mi sarà possibile scriverò un comunicato che manderemo via mail e verrà inserito sul nostro forum.

Grazie per la disponibilità

Luca Curatola · « **Risposta #135 il:** 10 Feb 2008, 23:10:22 »

In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.

L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.

Auguro buon lavoro a Carlo.

carlo_gra · « **Risposta #136 il:** 10 Feb 2008, 23:20:50 »

Citazione da: Luca Curatola - 10 Feb 2008, 23:10:22

In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.

L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.

Auguro buon lavoro a Carlo.

Era più che altro per non generare dispersione e confusione.
Vorrei solo si capisse che non vogliamo insabbiare la questione, ci mancherebbe, ma avere un unico punto (possibilmente il nostro forum visto che il problema è del nostro servizio e NON della community) può facilitare il lavoro di tutti: dei clienti che vogliono lamentarsi, sfogarsi, avere info e nostro (per leggere gli sfoghi, rispondere alle domande, etc).

Grazie per il buon lavoro e chiudo qui il mio intervento su joomla.it per questa questione.

zalexo · « **Risposta #137 il:** 11 Feb 2008, 00:39:31 »

Citazione da: carlo_gra - 10 Feb 2008, 23:20:50

Citazione da: Luca Curatola - 10 Feb 2008, 23:10:22
In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.

L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.

Auguro buon lavoro a Carlo.

Era più che altro per non generare dispersione e confusione.
Vorrei solo si capisse che non vogliamo insabbiare la questione, ci mancherebbe, ma avere un unico punto (possibilmente il nostro forum visto che il problema è del nostro servizio e NON della community) può facilitare il lavoro di tutti: dei clienti che vogliono lamentarsi, sfogarsi, avere info e nostro (per leggere gli sfoghi, rispondere alle domande, etc).

Grazie per il buon lavoro e chiudo qui il mio intervento su joomla.it per questa questione.

Ciao Carlo hai perfettamente ragione.

Mi scuso per aver aperto quaesta discussione, non ho mai parlato dell'hosting in questione. Ho perso un pò la pazienza e mi sono sentito distrutto per il possibile lavoro perso.

Mi scuso ancora ma la discussione ha perso il filo e come diceva Ste fin dall'inizio doveva nascere nel forum di supporto.

Scusate ERRORE mio.

Daniele Pinna · « **Risposta #138 il:** 11 Feb 2008, 01:16:49 »

IMHO non ti devi scusare...

Io ho scoperto degli attacchi leggendo il tuo messaggio, per cui sono riuscito a mettere a poste le cose per tempo.

Se lo avessi dovuto fare domani, con tutti gli altri impegni che ho, avrei avuto delle grosse difficoltà.

Bettinz · « **Risposta #139 il:** 11 Feb 2008, 03:14:53 »

Bene, si può chiudere il topic credo, in quanto potete usare il forum del provider di hosting citato precedentemente da Carlo.