Autore Topic: Hackerato sito by turko (Letto 11003 volte)

mikelee · « **il:** 26 Ott 2008, 14:37:47 »

Ieri ho scoperto che un hacker (o meglio dire cracker??) mi ha defacciato il mio sito: www.michelesforza.it.
Ho cambiato il file configuration.php con l'originale, ma niente.
Ho joomla 1.5. Penso che il mio template sia stato compromesso modificando il file index.php con quello attualmente visibile nel sito.
Cosa potrei fare per ristabilire il tutto?

P.S. Non riesco ad entrare nel pannello di joomla, ma mi permette di inserire user name e password. Ma poi non riesco a intervenire se non via ftp.

Grazie...

alexred · « **Risposta #1 il:** 26 Ott 2008, 14:48:40 »

Ciao mikelee,
che versione di Joomla 1.5 è?
Verifica che nel database siano presenti le tabelle di Joomla, e prova a ripristinare la password di amministratore:
http://wiki.joomla.it/index.php?title=Recupero_password_admin

hai disponibile un backup dell'intero sito ?

cicciofarmaco · « **Risposta #2 il:** 26 Ott 2008, 14:54:28 »

Com'è possibile fare il back-up dell'intero sito?

mikelee · « **Risposta #3 il:** 26 Ott 2008, 15:01:32 »

Ahimè non ho il backup del sito ma mi hanno detto dal server a cui mi appoggio (europeanwebhost) che hanno il backup del database aggiornato a ieri.
Per la versione di joomla ricordo che era 1.5 ma non ricordo il terzo numeretto perchè non potendo accedere al pannello nn ricordo la versione. Tieni conto che ne ho circa 6 di siti hackati nella stessa maniera tutti ieri!!! (con versione di joomla diverse...ecco perchè non ricordo ogni versione).

Antonio* · « **Risposta #4 il:** 26 Ott 2008, 15:28:37 »

...MammaMia ma sto' turco non ha proprio un ***** da fare... visitando gli altri forum vi dico che è davvero impressionante il numero di gente che è stata "attaccata nelle ultime 2 settimane", anche a me il "turco" ha rubato le pwd di un sito... beh non so che dire, in ogni caso se dovesse essere lui, le ultime 2 settimane stando ai numeri non ha fatto altro che "hackerare siti"... che poveraccio...

alexred · « **Risposta #5 il:** 26 Ott 2008, 15:41:42 »

Citazione da: cicciofarmaco - 26 Ott 2008, 14:54:28

Com'è possibile fare il back-up dell'intero sito?

Ciao cicciofarmaco,
per effettuare un backup è necessario salvare via FTP sul tuo pc tutte le cartelle e file presenti sul server (magari le copi sul pc in una cartella nominata con la data ed il nome del dominio). Poi tramite phpmyadmin effettui l'esportazione di tutte le tabelle del database (struttura+dati) e salvi il relativo file .sql sul tuo pc.

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

cicciofarmaco · « **Risposta #6 il:** 26 Ott 2008, 19:02:05 »

Citazione da: alexred - 26 Ott 2008, 15:41:42

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

Beh si, io aggiorno sempre joomla quando ci sono nuove relases che sopperiscono a bugs di sicurezza, però sai com'è!?

DoppiaV · « **Risposta #7 il:** 26 Ott 2008, 19:12:24 »

Io per il backup uso il componente joomlapack, mi sembra buono, crea uno zip di tutte le cartelle del sito ed esegue anche il backup del database. é sufficiente si? tanto ho provato a ripristinarlo in locale e vedo tutto correttamente, dovrebbe essere OK.....

ilvanni · « **Risposta #8 il:** 26 Ott 2008, 19:55:56 »

Ciao ragazzi, e ricordatevi anche sempre di tenere aggiornati i componenti, plugins, moduli etc. che spesso risultano essere affetti da bugs, anche se appena sfornati.
Purtroppo in giro c'è tanta gente che non fa niente dalla mattina alla sera, ma una cosa mi domando: chi fa queste cose che cappero ci guadagna? Giusto la soddisfazione personale di guardarsi allo specchio e di applaudirsi da solo? O magari per farsi bello davanti agli amici: "Ih che bello, oggi ho defacciato il sito di Michele Sforza!" Ma che stupida soddisfazione!
Scusate lo sfogo ma quando vedi il frutto del tuo lavoro buttato all'aria da questa gente ti viene voglia di "dirgliene quattro", anche perchè così si rovina non solo il lavoro dello sviluppatore ma si reca danno anche all'azienda per cui tu hai lavorato per progettare e pubblicare il sito.
Ciao ragazzi!

cicciofarmaco · « **Risposta #9 il:** 27 Ott 2008, 02:35:45 »

Quoto Ilvanni!

misterx · « **Risposta #10 il:** 27 Ott 2008, 04:22:34 »

Citazione da: mikelee - 26 Ott 2008, 14:37:47

Ieri ho scoperto che un hacker (o meglio dire cracker??) mi ha defacciato il mio sito: www.michelesforza.it.
Ho cambiato il file configuration.php con l'originale, ma niente.
Ho joomla 1.5. Penso che il mio template sia stato compromesso modificando il file index.php con quello attualmente visibile nel sito.
Cosa potrei fare per ristabilire il tutto?

P.S. Non riesco ad entrare nel pannello di joomla, ma mi permette di inserire user name e password. Ma poi non riesco a intervenire se non via ftp.

Grazie...

se non hai un backup che file configuration.php hai usato per sostituire quello modificato? hai usato quello base dell'installazione? se si, hai modificato i soliti parametri db e cose varie? con il turko normalmente basta sostituire il file configuration.php dell'ultimo bachup a quello hackerato.

misterx · « **Risposta #11 il:** 27 Ott 2008, 04:26:37 »

Citazione da: alexred - 26 Ott 2008, 15:41:42

Citazione da: cicciofarmaco - 26 Ott 2008, 14:54:28
Com'è possibile fare il back-up dell'intero sito?
Ciao cicciofarmaco,
per effettuare un backup è necessario salvare via FTP sul tuo pc tutte le cartelle e file presenti sul server (magari le copi sul pc in una cartella nominata con la data ed il nome del dominio). Poi tramite phpmyadmin effettui l'esportazione di tutte le tabelle del database (struttura+dati) e salvi il relativo file .sql sul tuo pc.

Per evitare di avere queste brutte sorprese di siti hackerati è bene prendere l'abitudine di aggiornare sempre le installazioni di Joomla all'ultima versione disponibile.

aggiungerei che per esportare il database esistono diverse guide gratuite che spiegano passo passo come fare. Questa è un esempio:
http://www.freetiamo.altervista.org/index.php/esportare-database.html
p.s. mi dite che ne pensate?

mikelee · « **Risposta #12 il:** 27 Ott 2008, 11:40:08 »

Praticamente mi ero fatto una copia solo del file configuration.php di tutti i siti che ho (circa 6..tutti hackerati dallo stesso turco...).
Ma mai un backup del sito (tranne uno).
Ho notato anche che l'index.php del template è stato modificato...
Il file configuration.php è giusto, infatti riesco ad inserire user name e password quando mi collego a www.michelesforza.it/administrator ma poi non posso intervenire nel pannello di joomla perchè non posso cliccare da nessuna parte. Lo vedo ma non posso intervenire insomma...

misterx · « **Risposta #13 il:** 27 Ott 2008, 14:29:34 »

qualche volta si risolve sostituendo il file index.php a quello hackerato...

ilvanni · « **Risposta #14 il:** 27 Ott 2008, 15:08:05 »

Ma è mai possibile che stò turco non lo si riesce a fermare?

mikelee · « **Risposta #15 il:** 27 Ott 2008, 20:38:26 »

Una domanda:

Dal servizio di hosting mi hanno detto che hanno un backup del database.
Se io cancello tutto ciò che c'è in remoto (tranne la cartella images e template, giusto per non ricaricare tutte le immagini e le modifiche fatte al template...), e ricarico tutto il sito con una versione originale scaricata dal sito, tipo la 1.5.7.
Poi ricarico il file configuration.php.
Secondo voi, faccio un'operazione che si può fare?

misterx · « **Risposta #16 il:** 28 Ott 2008, 04:13:20 »

non funge...dovresti avere il backup delle cartelle. avresti un db totalmente slegato da quello che c'è in realtà nelle cartelle..risultato-->una marea di errori

mikelee · « **Risposta #17 il:** 28 Ott 2008, 13:41:46 »

E se cancello anche le cartelle images e installation e template, insomma TUTTO e rifaccio una installazione da ZERO...poi reinstallo, richiamo il DB come prima, stessa user id stessa password, stesso tutto, riscrivo il file configuration.php settato giusto, ricarico template, plugin, componenti, etc, e reinserisco il DB backupato dall'hosting?
Risolvo?

dexter04 · « **Risposta #18 il:** 28 Ott 2008, 20:43:02 »

l'hacker turco ha attaccato anche il mio sito e ho visto che non solo ha modificato il file configuration.php ma anche tutti i file dei componenti. Quello che ho provato a fare è rinominare la cartella del template e ricaricarlo c'è stato un leggero miglioramento ma esce sempre quella scritta del c...o! Ha fatto proprio un "bel lavoro" se così si può dire.
Secondo voi se copio tutti i file di joomla nella root del sito sovrascrivendoli si risolve o no?

dexter04

P.s.: anche il mio sito è su europeanhost

misterx · « **Risposta #19 il:** 28 Ott 2008, 20:51:22 »

no,purtoppo no...
comunque strano... ti ha modificato tutte le cartelle dei componenti?in altri siti è intervenuto solo in pochi punti.
ma tu avevi aggiornato alla 1.5.7?

dexter04 · « **Risposta #20 il:** 28 Ott 2008, 21:00:56 »

si ho la 1.5.7, nei componenti ci sono file modificati il 25 ottobre data dell'attacco e tutti quei file sono stati modificati nello stesso modo, cioè inserendo idati per far vedere la bandiera e la scritta "hacked by ....".
Quindi se copio tutti i file non risolvo nulla?

mikelee · « **Risposta #21 il:** 29 Ott 2008, 14:07:20 »

Citazione

e cancello anche le cartelle images e installation e template, insomma TUTTO e rifaccio una installazione da ZERO...poi reinstallo, richiamo il DB come prima, stessa user id stessa password, stesso tutto, riscrivo il file configuration.php settato giusto, ricarico template, plugin, componenti, etc, e reinserisco il DB backupato dall'hosting?

Eppure da europeanwebhost (hosting) mi hanno detto che è meglio far così...mi hanno preso in giro quindi?

misterx · « **Risposta #22 il:** 29 Ott 2008, 16:09:41 »

non so, prova... ma alcuni hanno fatto così ma non hanno ottenuto nulla.
Molti hanno risolto sostituendo solamente il file index ma era stato l'unico modificato(oltre a qualche cartella tipo immages dove aveva inserito le varie immagini)

FArn · « **Risposta #23 il:** 29 Ott 2008, 16:44:33 »

Io farei così:

Reset della password amministratore.
Prendo nota di tutti i componenti, plugins, template ecc ecc installati.
Spazzo via tutto.
Copio una 1.5.7 nuova di pacca.
Installo tutto, compresi i compontenti ecc di cui sopra.
Poi modifico il file configuration e mi aggancio al db vecchio.

Fine. Sito nuovo, pulito, aggiornato.
Se ci sono modifiche custom al codice o simili, ovviamente è il caso di fare un backup dei file necessari.

giornalista · « **Risposta #24 il:** 09 Nov 2008, 22:05:44 »

Ciao a tutti,
anche il nostro sito è stato hackerato dal turco.
Di seguito quello che abbiamo provato a fare:

1. esportato il DB (anche se il sito era già stato hackerato. cambia qualcosa? ci stiamo portando dietro qualche modifica?)
2. Cambiato la password di amministrazione
3. sostituito i file index.php, index2.php, index.html, configuration.php e ripulito la cartella tmp.
--> nulla di fatto, non è cambiato niente.

seguendo un'altra procedura siamo entrati come amministratore, ricambiato la password internamente e cambiato il template con uno nuovo appena scaricato.
--> nulla di fatto anche in questo caso.

Che possiamo provare ancora?

56francesco · « **Risposta #25 il:** 09 Nov 2008, 23:01:01 »

la versione di joomla please, per favore la versione esatta ad ogni segnalazione, grazie!

giornalista · « **Risposta #26 il:** 09 Nov 2008, 23:02:18 »

Citazione da: 56francesco - 09 Nov 2008, 23:01:01

la versione di joomla please, per favore la versione esatta ad ogni segnalazione, grazie!

la 1.5.7

56francesco · « **Risposta #27 il:** 09 Nov 2008, 23:08:58 »

link please,

giornalista · « **Risposta #28 il:** 09 Nov 2008, 23:12:48 »

Citazione da: 56francesco - 09 Nov 2008, 23:08:58

link please,

www.xxx.it

ora abbiamo rimesso tutto come era al momento dell'attacco... come puoi vedere...

56francesco · « **Risposta #29 il:** 09 Nov 2008, 23:17:33 »

grazie, puoi rimettere il sito normale, ora.

giornalista · « **Risposta #30 il:** 09 Nov 2008, 23:23:04 »

Citazione da: 56francesco - 09 Nov 2008, 23:17:33

grazie, puoi rimettere il sito normale, ora.

il nostro nuovo "normale", purtroppo si limita ad aver sostituito la index con una pagina di cortesia... niente di più

come ne usciamo?

accedendo da amministratore abbiamo tutto: articoli, struttura, immagini, componenti, ecc. tutto.
come lo ripristiniamo?

grazie

56francesco · « **Risposta #31 il:** 09 Nov 2008, 23:25:48 »

non trovo niente in giro per altri forum, prova a controllare via ftp le cartelle cosa vedi, index strane, ecc ecc..
un acher non ti rompe il sito ti fa solo dannare, pensi che sia entrato dentro il pannello administrator?

56francesco · « **Risposta #32 il:** 09 Nov 2008, 23:28:04 »

[urllinkkkk[/url]

di chi è quell'ip? dell'amministratore per caso?

56francesco · « **Risposta #33 il:** 09 Nov 2008, 23:35:23 »

[linkkk[/url]

ora la vedi bene?

giornalista · « **Risposta #34 il:** 09 Nov 2008, 23:38:31 »

Citazione da: 56francesco - 09 Nov 2008, 23:35:23

[linkk[/url]

ora la vedi bene?

si, più o meno.

il sito c'è tutto, anche se la testata è quella del template.
quindi? che dobbiamo fare per la home?

scusa ma non siamo esperti. puoi aiutarci?

56francesco · « **Risposta #35 il:** 09 Nov 2008, 23:48:03 »

leggi il pvt..