Sito web hackerato!

[The-BiT]

Buona sera,
per caso mi sono accorto, oggi, che uno dei miei siti con joomla 1.5.? è stato hackerato da qualche turco o chi per conto suo.
Fortunatamente era un sito sul quale facevo solamente delle prove.
Il messaggio in home page è:
hacked by TURKYILDIZLARI.ORG
ADMIN SECURITY NONE !?
BORDE BERELILER // Thanx : Starturk

Ovviamente mi ha cambiato la password di amministratore, ma io prima di modificarla ne ho preso la chiave md5:

solo che non sono riuscito a decriptarla.

Vorrei avere da voi un consiglio su come agire.
E' il caso di segnalare la questione al mio mantainer, oppure cosa?
Per entrare come admin, ho provato a crearmi un utente super admin tramite phpmyadmin, ho inserito una parola come passowrd criptata in md5 ma quando effettuo l'accesso mi da errore "invalid token".
Spero che risponderete alle mie domande.
Grazie.

[The-BiT]

Un'altra cosa: credete siano entrati con brute force trovando la mia password o sfruttando qualche bug della versione di joomla? Specifico che su questa versione non avevo fatto l'aggiornamento all'ultima.

[gagne]

se usavi la 1.57 è semplicissimo cambiare la password al user admin

[The-BiT]

Addirittura?
Potresti dirmi come può aver fatto? Giusto a titolo informativo.
Grazie.

[gagne]

richiedevano una nuova password e se come utente mettano ' inseriscano quella nuova e dato che tutti non cambiano l'user admin dopo si loggano usando come user admin e come password quella che hanno scelta + o - la cosa è cosi

[The-BiT]

Scusa, ma non sto riuscendo a capire.
Potresti spiegare, un po' meglio, in che modo agirebbero?
In questo modo potrò prendere delle misure preventive, sempre se utilizzano brute-force.

[milkplus]

gagne in effetti non si capisce granchè.

In ogni caso ti consiglio di tenere sempre aggiornato joomla all'ultima versione disponibile su questo sito. Segui gli aggiornamenti di tutti i tuoi componenti, ti consiglio vivamente di abbandonare tutti i componenti di progetti "morti" in quanto non seguiti più da un numero degno di "volontari" e di conseguenza le vulnerabilità (inevitabili) non vengono risolte.

Cambia le password del server mysql ftp e verifica che sul tuo sito web non ci siano file strani. dai una bella pulita.. facendo attenzione a non cancellare troppo.. ciao, in bocca al lupo

[The-BiT]

Probabilmente cancellerò l'intera cartella visto che si trattava, fortunatamente, di un sito prove.
La cosa che mi interessava sapere è se è il caso di segnalare la questione al mio mantainer in modo da vedere se si riesce a trovare qualche traccia.

[milkplus]

certo scrivi a loro sicuramente ci saranno tracce...

[sali40]

non credo che ce ne siano. nessuna traccia. viene sfruttata una vulnerabilità (sanata con la 1.5. mediante la quale era possibile reimpostare la password di amministratore conoscendone il nome utente. E siccome in tanti ... troppi ... lasciano "admin" ...  

[milkplus]

sarebbe opportuno cambiare lo user admin, ed usare i nomi degli utenti per gli account degli amministratori diversi dal utente per il login, giusto?

per lo meno io faccio cosi

[sali40]

sarebbe opportuno cambiare lo user admin, ed usare i nomi degli utenti per gli account degli amministratori diversi dal utente per il login, giusto?

per lo meno io faccio cosi

aspetta che non ho ben compreso, puoi chiarire?
Per gli admin, è importante utilizzare nomi utente di fantasia. Se poi sono abbastanza complessi e non previsti in alcun dizionario sarebbe anche meglio.

Mettere come username per l'admin una stringa che sia quasi una password forte è ancora meglio

Se poi aggiungessi una protezione htaccess/htpasswd per l'accesso alla cartella /administrator è ancora meglio

[The-BiT]

Io però, non perchè ostinato, vorrei cercare di capire la vulnerabilità usata per reimpostare la passoword.
E' solo per mia cultura personale. Se possibile.

[milkplus]

sali intendevo dire che il nome utente (quello utilizzato nel login) e il nome (quello visibile nel frontend ad esempio nella creazione degli articoli) nn corrispondono..

htpasswd e htaccess anche questi li imposto qual'ora sia necessario, anche l'ip statico imposto, dove è fattibile, penso sia un'ottima soluzione

[sali40]

sali intendevo dire che il nome utente (quello utilizzato nel login) e il nome (quello visibile nel frontend ad esempio nella creazione degli articoli) nn corrispondono..

htpasswd e htaccess anche questi li imposto qual'ora sia necessario, anche l'ip statico imposto, dove è fattibile, penso sia un'ottima soluzione

a si certo. scusami non avevo ben compreso

The-Bit, se cerchi in giro trovi tutto. Non qui sul forum, in effetti. Ma d'altro canto ... non ti pare che dare idee a chi ne ha già fin troppe sia eccessivo?

Lamers e Script kiddies utilizzano proprio le precise indicazioni che trovano in rete. Siccome suppongo che in molti (purtroppo, aggiungo) non tengono il sito aggiornato, creare una ulteriore valanga di siti bucati mi pare davvero "politically scorrect"

[The-BiT]

Ok, come volete. Cercherò in giro.
Se volete mandarmi un pvt esplicativo, però, sarà ben accetto eh! 

[tito7400]

non credo che ce ne siano. nessuna traccia. viene sfruttata una vulnerabilità (sanata con la 1.5. mediante la quale era possibile reimpostare la password di amministratore conoscendone il nome utente. E siccome in tanti ... troppi ... lasciano "admin" ...  

buono a sapersi 

[= odino =]

E' il caso di segnalare la questione al mio mantainer, oppure cosa?

te lo consiglio vivamente


dopodiche...hai cambiato password FTP e MySQL ovviasmente....

[gagne]

sono stato vago è vero ma c'è un motivo, cmq per essere un pochino più preciso faccio un'altro esempio vago.

per prima cosa il male intenzionato fa una cosa del genere:

va su un sito joomla e prova ad aggiungere un pezzo di url tipo questo:

/index.php?option=com_user&view=reset

cioè

www.nomedelsito.ext/index.php?option=com_user&view=reset

inserisce '

fatto questo gli chiedeva di inserire la nuova password la

inseriva e poi si loggava con admin + la nuova password

[The-BiT]

@Odino: non ho cambiato passowrd ftp per il semplice motivo che questo joomla risiedeva in una sottocartella del mio wwwroot, del tipo:
-wwwroot
----joomla1.5
----joomla1.0
----altri file

Per questo escludo l'idea che sia potuto entrare tramite FTP, anche la password ftp è veramente complessa. La password MySQL ancora non l'ho cambiata, ma tanto butterò tutto a terra. Grazie per il tuo consiglio.

@Gagne: spiegazione molto esauriente, grazie. Ci tenevo a capirlo perchè così so ome prevenirlo (qualora su alcuni siti non potessi aggiornare joomla all'ultima versione).
Chissà se si risolverebbe il problema se si impostasse il mod-rewrite agli urls.

[= odino =]

@Odino: non ho cambiato passowrd ftp per il semplice motivo che questo joomla risiedeva in una sottocartella del mio wwwroot, del tipo:
-wwwroot
----joomla1.5
----joomla1.0
----altri file

Per questo escludo l'idea che sia potuto entrare tramite FTP, anche la password ftp è veramente complessa. La password MySQL ancora non l'ho cambiata, ma tanto butterò tutto a terra. Grazie per il tuo consiglio.

MA SVEGLIA!

Secondo te se lui ha dato un occhiata al configuration.php non ha tirato giu tutto il suo contenuto???

Leggi, rileggi, e fatti una terza passata...

[The-BiT]

Quello che mi interessa sapere è, a parte la questione del database (che è diverso per ogni applicazione che ho sul mio spazio web) sul quale cambierò la password.
Vorrei sapere se tramite accesso a joomla riescono a risalire di una cartella del tipo ../ e quindi arrrivare alla root principale.
Nel frattempo cambio le password.

[= odino =]

certo che ci può risalire se l'utente FTP è abilitato ad entrare in root

[The-BiT]

Ho appena aperto il configuration.php e, con mio dispiacere, ho notato che in chiaro vi era anche user e pass della mia email. Dati che ho subito cambiato.
Un'ultima cosa Odino: potresti dirmi, per sommi capi, in che modo l'utente maligno può risalire all'intero root e cosa posso fare, in questo caso, per vedere è tutto in ordine nel mio root.
Grazie per le tue informazioni.

[milkplus]

nel file configuration.php ci sono quei dati perchè sono quelli che vengono immessi quando effettui l'installazione.

[The-BiT]

nel file configuration.php ci sono quei dati perchè sono quelli che vengono immessi quando effettui l'installazione.

Si ma io mi riferisco ai dati di e-mail di quando si sceglie, come ftp esterno a joomla, la propria mail.
Secondo me è rischioso lasciare in chiaro quetse informazioni nel configuration.php.

[= odino =]

nel file configuration.php ci sono quei dati perchè sono quelli che vengono immessi quando effettui l'installazione.

Si ma io mi riferisco ai dati di e-mail di quando si sceglie, come ftp esterno a joomla, la propria mail.
Secondo me è rischioso lasciare in chiaro quetse informazioni nel configuration.php.

no la tua mail cosa vuoi che gli importi...mica hai la pass della casella mail lì!

Un'ultima cosa Odino: potresti dirmi, per sommi capi, in che modo l'utente maligno può risalire all'intero root e cosa posso fare, in questo caso, per vedere è tutto in ordine nel mio root.
Grazie per le tue informazioni.

Prende user e pass FTP e si autentica con tali dati.

Per controllare chiedi i log del server all'host

[The-BiT]

no la tua mail cosa vuoi che gli importi...mica hai la pass della casella mail lì!

Certo! Te lo sto dicendo!
Solo in quel sito io utilizzato un smtp diverso da quello di joomla perchè ero su hosting windows.
Per questo, per inviare le mail dal sito, ho dovuto mettere user e pass della mia mai.
Per questo motivo mi sono sorti tutti questi dubbi.
Quanto ai logs, ho accesso diretto ad essi.
Sperando che possa servire a qualcosa.

[= odino =]

ah ok allora probabile si sia fatto un giro nella tua casella di mail

[The-BiT]

Ho scritto al mio provider e potete immaginare. Se n'è lavato dicendomi che son hackers turchi, bla, bla, bla e che non si può fare niente.
Che nemmeno la polizia postale può fare niente e che quindi dovrei restare con le mani e subire queste "opere" di questi nullafacenti.
Non c'è veramente niente che io possa fare?
Preciso che ho accesso diretto ai file logs se potesse servire.

[gagne]

supponiamo che sono un hacker, secondo te uso il mio IP o mi nascondo dietro 1 o più proxy ?
Il log serve veramente a poco e anche se hai il suo IP dovresti scrivere ai turchi e fargli presente la cosa.

L'unica tua arma è aggiornare il sito sempre all'ultima versione e dato che ci sei fatti un giro anche nella sezione sicurezza del forum.

[The-BiT]

Conosco bene il funzionamento degli IP e dei proxy, ma ho voluto provare ugualmente a darmi fare. Vabbè, vorrà dire che mi limiterò solamente a tenere aggiornato il mio sito.
Pazienza.
Grazie a tutti voi.

[= odino =]

Semplicemente cambia tutte le pass.

Il provider cosa può fare? dirti di stare più attento la prossima volta e basta...

[56francesco]

Non c'è veramente niente che io possa fare?

curare gli aggiornamenti, cambiare periodicamente le password (tutte), fare le copie di sicurezza (database comprese), non rosicarti......