Hackerato sito by turko

[mikelee]

Ieri ho scoperto che un hacker (o meglio dire cracker??) mi ha defacciato il mio sito: www.michelesforza.it.
Ho cambiato il file configuration.php con l'originale, ma niente.
Ho joomla 1.5. Penso che il mio template sia stato compromesso modificando il file index.php con quello attualmente visibile nel sito.
Cosa potrei fare per ristabilire il tutto?

P.S. Non riesco ad entrare nel pannello di joomla, ma mi permette di inserire user name e password. Ma poi non riesco a intervenire se non via ftp.

Grazie...

[alexred]

Ciao mikelee,
che versione di Joomla 1.5 è?
Verifica che nel database siano presenti le tabelle di Joomla, e prova a ripristinare la password di amministratore:
http://wiki.joomla.it/index.php?title=Recupero_password_admin

hai disponibile un backup dell'intero sito ?

[cicciofarmaco]

Com'è possibile fare il back-up dell'intero sito?

[mikelee]

Ahimè non ho il backup del sito ma mi hanno detto dal server a cui mi appoggio (europeanwebhost) che hanno il backup del database aggiornato a ieri.
Per la versione di joomla ricordo che era 1.5 ma non ricordo il terzo numeretto perchè non potendo accedere al pannello nn ricordo la versione. Tieni conto che ne ho circa 6 di siti hackati nella stessa maniera tutti ieri!!! (con versione di joomla diverse...ecco perchè non ricordo ogni versione).

[Antonio*]

...MammaMia ma sto' turco non ha proprio un ***** da fare... visitando gli altri forum vi dico che è davvero impressionante il numero di gente che è stata "attaccata nelle ultime 2 settimane", anche a me il "turco" ha rubato le pwd di un sito... beh non so che dire, in ogni caso se dovesse essere lui, le ultime 2 settimane stando ai numeri non ha fatto altro che "hackerare siti"... che poveraccio... 

[alexred]

Com'è possibile fare il back-up dell'intero sito?

Ciao cicciofarmaco,
per effettuare un backup è necessario salvare via FTP sul tuo pc tutte le cartelle e file presenti sul server (magari le copi sul pc in una cartella nominata con la data ed il nome del dominio). Poi tramite phpmyadmin effettui l'esportazione di tutte le tabelle del database (struttura+dati) e salvi il relativo file .sql sul tuo pc.

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

[cicciofarmaco]

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

Beh si, io aggiorno sempre joomla quando ci sono nuove relases che sopperiscono a bugs di sicurezza, però sai com'è!?

[DoppiaV]

Io per il backup uso il componente joomlapack, mi sembra buono, crea uno zip di tutte le cartelle del sito ed esegue anche il backup del database. é sufficiente si? tanto ho provato a ripristinarlo in locale e vedo tutto correttamente, dovrebbe essere OK.....

[ilvanni]

Ciao ragazzi, e ricordatevi anche sempre di tenere aggiornati i componenti, plugins, moduli etc. che spesso risultano essere affetti da bugs, anche se appena sfornati.
Purtroppo in giro c'è tanta gente che non fa niente dalla mattina alla sera, ma una cosa mi domando: chi fa queste cose che cappero ci guadagna? Giusto la soddisfazione personale di guardarsi allo specchio e di applaudirsi da solo? O magari per farsi bello davanti agli amici: "Ih che bello, oggi ho defacciato il sito di Michele Sforza!" Ma che stupida soddisfazione!
Scusate lo sfogo ma quando vedi il frutto del tuo lavoro buttato all'aria da questa gente ti viene voglia di "dirgliene quattro", anche perchè così si rovina non solo il lavoro dello sviluppatore ma si reca danno anche all'azienda per cui tu hai lavorato per progettare e pubblicare il sito.
Ciao ragazzi!

[cicciofarmaco]

Quoto Ilvanni! 

[misterx]

Ieri ho scoperto che un hacker (o meglio dire cracker??) mi ha defacciato il mio sito: www.michelesforza.it.
Ho cambiato il file configuration.php con l'originale, ma niente.
Ho joomla 1.5. Penso che il mio template sia stato compromesso modificando il file index.php con quello attualmente visibile nel sito.
Cosa potrei fare per ristabilire il tutto?

P.S. Non riesco ad entrare nel pannello di joomla, ma mi permette di inserire user name e password. Ma poi non riesco a intervenire se non via ftp.

Grazie...

se non hai un backup che file configuration.php hai usato per sostituire quello modificato? hai usato quello base dell'installazione? se si, hai modificato i soliti parametri db e cose varie? con il turko normalmente basta sostituire il file configuration.php dell'ultimo bachup a quello hackerato.

[misterx]

Com'è possibile fare il back-up dell'intero sito?

Ciao cicciofarmaco,
per effettuare un backup è necessario salvare via FTP sul tuo pc tutte le cartelle e file presenti sul server (magari le copi sul pc in una cartella nominata con la data ed il nome del dominio). Poi tramite phpmyadmin effettui l'esportazione di tutte le tabelle del database (struttura+dati) e salvi il relativo file .sql sul tuo pc.

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

aggiungerei che per esportare il database esistono diverse guide gratuite che spiegano passo passo come fare. Questa è un esempio:
http://www.freetiamo.altervista.org/index.php/esportare-database.html
p.s. mi dite che ne pensate?

[mikelee]

Praticamente mi ero fatto una copia solo del file configuration.php di tutti i siti che ho (circa 6..tutti hackerati dallo stesso turco...).
Ma mai un backup del sito (tranne uno).
Ho notato anche che l'index.php del template è stato modificato...
Il file configuration.php è giusto, infatti riesco ad inserire user name e password quando mi collego a www.michelesforza.it/administrator ma poi non posso intervenire nel pannello di joomla perchè non posso cliccare da nessuna parte. Lo vedo ma non posso intervenire insomma...

[misterx]

qualche volta si risolve sostituendo il file index.php a quello hackerato...

[ilvanni]

Ma è mai possibile che stò turco non lo si riesce a fermare?

[mikelee]

Una domanda:

Dal servizio di hosting mi hanno detto che hanno un backup del database.
Se io cancello tutto ciò che c'è in remoto (tranne la cartella images e template, giusto per non ricaricare tutte le immagini e le modifiche fatte al template...), e ricarico tutto il sito con una versione originale scaricata dal sito, tipo la 1.5.7.
Poi ricarico il file configuration.php.
Secondo voi, faccio un'operazione che si può fare?

[misterx]

non funge...dovresti avere il backup delle cartelle. avresti un db totalmente slegato da quello che c'è in realtà nelle cartelle..risultato-->una marea di errori

[mikelee]

E se cancello anche le cartelle images e installation e template, insomma TUTTO e rifaccio una installazione da ZERO...poi reinstallo, richiamo il DB come prima, stessa user id stessa password, stesso tutto, riscrivo il file configuration.php settato giusto, ricarico template, plugin, componenti, etc, e reinserisco il DB backupato dall'hosting?
Risolvo?

[dexter04]

l'hacker turco ha attaccato anche il mio sito e ho visto che non solo ha modificato il file configuration.php ma anche tutti i file dei componenti. Quello che ho provato a fare è rinominare la cartella del template e ricaricarlo c'è stato un leggero miglioramento ma esce sempre quella scritta del c...o! Ha fatto proprio un "bel lavoro" se così si può dire.
Secondo voi se copio tutti i file di joomla nella root del sito sovrascrivendoli si risolve o no?

dexter04

P.s.: anche il mio sito è su europeanhost

[misterx]

no,purtoppo no...
comunque strano... ti ha modificato tutte le cartelle dei componenti?in altri siti è intervenuto solo in pochi punti.
ma tu avevi aggiornato alla 1.5.7?