[RISOLTO] Sito Hacked da Gangsta Killa

[rodrisco]

Ciao,

avrei bisogno di un aiuto, per favore.
Ieri il mio sito
www.firenzesegreta.com
è stato bucato da un certo Gangsta Killa (un argentino).
Il mio sito è ospitato su ****** e ha la versione di Joomla 1.5.2
La password per accedere al pannello di controllo di Joomla è stata cambiata, in quanto non riesco più ad accedervi...
Ho a disposizione un backup fatto con JoomlaPack 1.2, ma purtroppo non so come ripristinarlo, visto che non posso entrare nel pannello di controllo di Joomla.

Avete qualche consiglio da darmi?

Grazie mille




edit:
Sono riuscito a trovare il file modificato dall'"hacker" e a ripristinare il vecchio.
Tutto bene, però la password del pannello di amministratore di joomla era cambiata, quindi l'ho modificata attraverso PhpMyAdmin e adesso il sito non è raggiungibile, mi dà:
Database Error: Unable to connect to the database:Could not connect to MySQL....

dove ho sbagliato...?


edit2:
...forse ho risolto, sono riuscito a far coincidere le password del database e quella del file configuration.php, poi mi dava dei warning dovuti probabilmente a dei caratteri strani che mi ha aggiunto all'inizio file configuration.php..

[Locu]

bene, ora aggiorna il tuo joomla alla versione 1.5.7. Così il tuo joomla sarà sicuro.

[rodrisco]

 

dopo mezz'ora che avevo finito di mettere tutto a posto, mi hanno attaccato di nuovo porca putt....

 

[Locu]

Posta una lista dei componenti/moduli e plugins che hai installato con le relative versioni. vediamo dove sta il bug. ciao

[rodrisco]

Adesso ho ripristinato un backup del sito e poi ho fatto l'upgrade a Joomla 1.5.7, per adesso tutto sembra a posto...

Il fatto è che ieri dopo aver ripristinato il sito e non aver ancora fatto l'upgrade di joomla, mi avevano bucato di nuovo, ma questa volta non era lo stesso di prima (Gangsta), ma un certo johnny stecchino... Ma sti stronz. si passano le informazioni dei siti vulnerabili, per caso?

Mi sapresti dire come faccio a ricavare dal mio sito una lista dei moduli e dei plugin (e relative versioni) che ho installato, visto che ormai sono parecchi?

Grazie 

[johnnyme]

ciao anche a me mi hanno Hackato...sempre Gangsta Killa   come hai fatto a ripristinare il tutto?
grazie dell'aiuto

[Locu]

@rodrisco
Per la lista e le relative versioni penso che dovrai fare a mano.
Ricorda che dopo che ti hanno defacciato il sito possono averti lasciato una shell tra i componenti/moduli/plugins o in qualche directory del tuo sito, quindi non basta solo aggiornare joomla all'ultima versione, devi stare attento ai file che sono o potrebbero essere stati modificati/aggiunti.
Per le vulnerabilità esistono vari siti nei quali vengono pubblicate.

_http://www.milw0rm.com/
_http://www.securityfocus.com/

Questi sono due dei più famosi.
La maggior parte dei cretini che defacciano siti, sfruttano le vulnerabilità dal momento della loro pubblicazione, in quanto, vengono rese note solo in quell'istante e poi, prima che arrivino in italia passa qualche ora, quindi c'è parecchia gente che non viene a conoscenza di ciò e molta altra che non prendere provvedimenti contro tali vulnerabilità. (ad esempio disabilitanto i componenti affetti da bugs).
Perciò, sarebbe bene, se si è un webmaster affidabile, controllare giornalmente le vulnerabilità che vengono pubblicate. Per capire come sono loro devi pensare come loro, cosa che non dovrebbe risultarti difficile in quanto sono dei decelebrati 15enni perlopiù.

@johnnyme

Segui anche tu questo consiglio... per l'installazione dell'aggiornamento basta che guardi la home. Invece per la password dell'admin fatti spiegare da Rodrisco. ciao

[bugSearch.Net]

La maggior parte dei cretini che defacciano siti, sfruttano le vulnerabilità dal momento della loro pubblicazione, in quanto, vengono rese note solo in quell'istante e poi, prima che arrivino in italia passa qualche ora, quindi c'è parecchia gente che non viene a conoscenza di ciò e molta altra che non prendere provvedimenti contro tali vulnerabilità. (ad esempio disabilitanto i componenti affetti da bugs).
Perciò, sarebbe bene, se si è un webmaster affidabile, controllare giornalmente le vulnerabilità che vengono pubblicate. Per capire come sono loro devi pensare come loro, cosa che non dovrebbe risultarti difficile in quanto sono dei decelebrati 15enni perlopiù.

a tal proposito è stato creato www.bugsearch.net che, tramite registrazione, avvisa gli utenti delle ultime vulnerabilità via email, offrendo la possibilità di filtrarle per applicazione.

[rodrisco]

ciao anche a me mi hanno Hackato...sempre Gangsta Killa   come hai fatto a ripristinare il tutto?
grazie dell'aiuto

Ciao,

Gangsta Killa mi aveva modificato il file index.php del mio template, quindi ho ripristinato quel file prendendolo da un backup che avevo fatto in precedenza.
Il percorso è:

TUOSITO/templates/TUOTEMPLATE/index.php

Poi mi sono accorto che mi aveva anche modificato la password del pannello amministratore di joomla, allora l'ho cambiata andando sul pannello di controllo del mio hosting, entrando nel database attraverso phpMyAdmin: devi andare su jos_users, poi su Mostra, poi su Modifica (SuperAdministrator) e modificare il campo password.
La password deve essere scritta in formato MD5, qui trovi il convertitore:
http://md5-hash-online.waraxe.us/

Ricordati poi di mettere la stessa password anche nel file configuration.php, nel campo:
var $password = 'xxxxxxxx';
altrimenti ti darà Errore database...

Ho fatto questo, poi mi accingevo a upgradare Joomla alla vers. 1.5.7, ma ho atteso una mezz'ora di troppo e mi hanno bucato di nuovo (johnny stecchino). Allora ho ripristinato TUTTO il sito con il backup che avevo e ho subito aggiornato joomla.
Per adesso è tutto ok, ma sinceramente non so se Gangsta Killa avesse in effetti modificato solo quel file o altri, adesso controllerò i componenti e i plugins uno per uno...

Ciao 

@Lucu e bugSearch.net: Grazie mille per i consigli 

[johnnyme]

.............non so come ringraziarti! ho risolto grazie al tuo prezioso aiuto
anche se un pó in ritardo perché sono stato in viaggio tutto questo tempo.... comunque mille grazie.

una curiositá: avevo installato solo per quel sito il programma S4J Remote Admin per amministrare remotamente il sito... sará micca che sia un malware?