Autore Topic: Sito web hackerato! (Letto 9552 volte)

The-BiT · « **il:** 10 Feb 2009, 20:42:32 »

Buona sera,
per caso mi sono accorto, oggi, che uno dei miei siti con joomla 1.5.? è stato hackerato da qualche turco o chi per conto suo.
Fortunatamente era un sito sul quale facevo solamente delle prove.
Il messaggio in home page è:
hacked by TURKYILDIZLARI.ORG
ADMIN SECURITY NONE !?
BORDE BERELILER // Thanx : Starturk

Ovviamente mi ha cambiato la password di amministratore, ma io prima di modificarla ne ho preso la chiave md5:

solo che non sono riuscito a decriptarla.

Vorrei avere da voi un consiglio su come agire.
E' il caso di segnalare la questione al mio mantainer, oppure cosa?
Per entrare come admin, ho provato a crearmi un utente super admin tramite phpmyadmin, ho inserito una parola come passowrd criptata in md5 ma quando effettuo l'accesso mi da errore "invalid token".
Spero che risponderete alle mie domande.
Grazie.

The-BiT · « **Risposta #1 il:** 10 Feb 2009, 20:45:21 »

Un'altra cosa: credete siano entrati con brute force trovando la mia password o sfruttando qualche bug della versione di joomla? Specifico che su questa versione non avevo fatto l'aggiornamento all'ultima.

gagne · « **Risposta #2 il:** 10 Feb 2009, 20:47:04 »

se usavi la 1.57 è semplicissimo cambiare la password al user admin

The-BiT · « **Risposta #3 il:** 10 Feb 2009, 20:56:19 »

Addirittura?
Potresti dirmi come può aver fatto? Giusto a titolo informativo.
Grazie.

gagne · « **Risposta #4 il:** 10 Feb 2009, 21:06:04 »

richiedevano una nuova password e se come utente mettano ' inseriscano quella nuova e dato che tutti non cambiano l'user admin dopo si loggano usando come user admin e come password quella che hanno scelta + o - la cosa è cosi

The-BiT · « **Risposta #5 il:** 10 Feb 2009, 21:16:35 »

Scusa, ma non sto riuscendo a capire.
Potresti spiegare, un po' meglio, in che modo agirebbero?
In questo modo potrò prendere delle misure preventive, sempre se utilizzano brute-force.

milkplus · « **Risposta #6 il:** 10 Feb 2009, 23:48:32 »

gagne in effetti non si capisce granchè.

In ogni caso ti consiglio di tenere sempre aggiornato joomla all'ultima versione disponibile su questo sito. Segui gli aggiornamenti di tutti i tuoi componenti, ti consiglio vivamente di abbandonare tutti i componenti di progetti "morti" in quanto non seguiti più da un numero degno di "volontari" e di conseguenza le vulnerabilità (inevitabili) non vengono risolte.

Cambia le password del server mysql ftp e verifica che sul tuo sito web non ci siano file strani. dai una bella pulita.. facendo attenzione a non cancellare troppo.. ciao, in bocca al lupo

The-BiT · « **Risposta #7 il:** 10 Feb 2009, 23:54:35 »

Probabilmente cancellerò l'intera cartella visto che si trattava, fortunatamente, di un sito prove.
La cosa che mi interessava sapere è se è il caso di segnalare la questione al mio mantainer in modo da vedere se si riesce a trovare qualche traccia.

milkplus · « **Risposta #8 il:** 10 Feb 2009, 23:57:02 »

certo scrivi a loro sicuramente ci saranno tracce...

sali40 · « **Risposta #9 il:** 10 Feb 2009, 23:57:55 »

non credo che ce ne siano. nessuna traccia. viene sfruttata una vulnerabilità (sanata con la 1.5.

mediante la quale era possibile reimpostare la password di amministratore conoscendone il nome utente. E siccome in tanti ... troppi ... lasciano "admin" ...

milkplus · « **Risposta #10 il:** 11 Feb 2009, 00:05:22 »

sarebbe opportuno cambiare lo user admin, ed usare i nomi degli utenti per gli account degli amministratori diversi dal utente per il login, giusto?

per lo meno io faccio cosi

sali40 · « **Risposta #11 il:** 11 Feb 2009, 00:14:08 »

Citazione da: milkplus - 11 Feb 2009, 00:05:22

sarebbe opportuno cambiare lo user admin, ed usare i nomi degli utenti per gli account degli amministratori diversi dal utente per il login, giusto?

per lo meno io faccio cosi

aspetta che non ho ben compreso, puoi chiarire?
Per gli admin, è importante utilizzare nomi utente di fantasia. Se poi sono abbastanza complessi e non previsti in alcun dizionario sarebbe anche meglio.

Mettere come username per l'admin una stringa che sia quasi una password forte è ancora meglio

Se poi aggiungessi una protezione htaccess/htpasswd per l'accesso alla cartella /administrator è ancora meglio

The-BiT · « **Risposta #12 il:** 11 Feb 2009, 00:18:28 »

Io però, non perchè ostinato, vorrei cercare di capire la vulnerabilità usata per reimpostare la passoword.
E' solo per mia cultura personale. Se possibile.

milkplus · « **Risposta #13 il:** 11 Feb 2009, 00:25:35 »

sali intendevo dire che il nome utente (quello utilizzato nel login) e il nome (quello visibile nel frontend ad esempio nella creazione degli articoli) nn corrispondono..

htpasswd e htaccess anche questi li imposto qual'ora sia necessario, anche l'ip statico imposto, dove è fattibile, penso sia un'ottima soluzione

sali40 · « **Risposta #14 il:** 11 Feb 2009, 00:35:10 »

Citazione da: milkplus - 11 Feb 2009, 00:25:35

sali intendevo dire che il nome utente (quello utilizzato nel login) e il nome (quello visibile nel frontend ad esempio nella creazione degli articoli) nn corrispondono..

htpasswd e htaccess anche questi li imposto qual'ora sia necessario, anche l'ip statico imposto, dove è fattibile, penso sia un'ottima soluzione

a si certo. scusami non avevo ben compreso

The-Bit, se cerchi in giro trovi tutto. Non qui sul forum, in effetti. Ma d'altro canto ... non ti pare che dare idee a chi ne ha già fin troppe sia eccessivo?

Lamers e Script kiddies utilizzano proprio le precise indicazioni che trovano in rete. Siccome suppongo che in molti (purtroppo, aggiungo) non tengono il sito aggiornato, creare una ulteriore valanga di siti bucati mi pare davvero "politically scorrect"

The-BiT · « **Risposta #15 il:** 11 Feb 2009, 00:42:58 »

Ok, come volete. Cercherò in giro.
Se volete mandarmi un pvt esplicativo, però, sarà ben accetto eh!

tito7400 · « **Risposta #16 il:** 11 Feb 2009, 00:44:31 »

Citazione da: sali40 - 10 Feb 2009, 23:57:55

non credo che ce ne siano. nessuna traccia. viene sfruttata una vulnerabilità (sanata con la 1.5. mediante la quale era possibile reimpostare la password di amministratore conoscendone il nome utente. E siccome in tanti ... troppi ... lasciano "admin" ...

buono a sapersi

= odino = · « **Risposta #17 il:** 11 Feb 2009, 10:17:29 »

Citazione da: The-BiT - 10 Feb 2009, 20:42:32

E' il caso di segnalare la questione al mio mantainer, oppure cosa?

te lo consiglio vivamente

dopodiche...hai cambiato password FTP e MySQL ovviasmente....

gagne · « **Risposta #18 il:** 11 Feb 2009, 10:21:12 »

sono stato vago è vero ma c'è un motivo, cmq per essere un pochino più preciso faccio un'altro esempio vago.

per prima cosa il male intenzionato fa una cosa del genere:

va su un sito joomla e prova ad aggiungere un pezzo di url tipo questo:

/index.php?option=com_user&view=reset

cioè

www.nomedelsito.ext/index.php?option=com_user&view=reset

inserisce '

fatto questo gli chiedeva di inserire la nuova password la

inseriva e poi si loggava con admin + la nuova password

The-BiT · « **Risposta #19 il:** 11 Feb 2009, 11:10:02 »

@Odino: non ho cambiato passowrd ftp per il semplice motivo che questo joomla risiedeva in una sottocartella del mio wwwroot, del tipo:
-wwwroot
----joomla1.5
----joomla1.0
----altri file

Per questo escludo l'idea che sia potuto entrare tramite FTP, anche la password ftp è veramente complessa. La password MySQL ancora non l'ho cambiata, ma tanto butterò tutto a terra. Grazie per il tuo consiglio.

@Gagne: spiegazione molto esauriente, grazie. Ci tenevo a capirlo perchè così so ome prevenirlo (qualora su alcuni siti non potessi aggiornare joomla all'ultima versione).
Chissà se si risolverebbe il problema se si impostasse il mod-rewrite agli urls.