Sito attaccato da Hacker!!!

[melmar20]

ciao a tutti, credo che il mio sito sia stato attaccato!!!

Era su joomla 1.5.3 e adesso ho provato ad aggiornarlo alla versione 1.5.7, ma niente, il problema persiste!!

Potreste aiutarmi???

[allegato eliminato da un amministratore perchè più vecchio di 365 giorni]

[r-evolving]

Hai backup del sito?
Tanto per cominciare sostituisci la index.php della tua root con una bella index.html con un messaggio di "sito fuori servizio per manutenzione".

[r-evolving]

OCIO! 
Adesso a chi si collega alla tua home viene richiesto di installare un plugin sul browser....
Credo abbiano fatto anche altro.

[melmar20]

quindi in sostanza dovrei contattare quelli che mi hanno venduto il dominio e chiedere se ho un servizio di backup, cancellare tutto e rimettere tutti i file su server???

[r-evolving]

Quasi.
Sì contatta il tuo hoster e fatti dare l'ultimo back-up.
Rispristina in locale il sito, AGGIORNALO(!!) all'ultima versione di Joomla!
Modifica l'ID dell'amminiastratore (BTW: chi ha fatto il defacemant ha scritto che come user e pswd avevi messo admin  admin?!?!?): non chiamarlo "admin" e scegli una password alfanumerica un minimo articolata.
Poi "pialla" quello che hai sul server, chiedendo all'hoster di verificare che non abbiano fatto altri danni dove tu non arrivi a vedere, e pubblica l'aggiornamento che hai fatto in locale, db compreso.
 

[ventus85]

quindi in sostanza dovrei contattare quelli che mi hanno venduto il dominio e chiedere se ho un servizio di backup, cancellare tutto e rimettere tutti i file su server???

Beh, di solito quando compri un dominio ti viene detto se tra i servizi offerti c'è il backup (giornaliero, settimanale o altro), se non te lo hanno detto vuol dire che non è previsto e che ci devi pensare da te.
Comunque un backup fatto a mano di file e database fa sempre comodo.
E aggiorna la versione di Joomla.
Comunque prova a sentire, a volte i backup li fanno lo stesso ma te li danno solo se li contatti.

[r-evolving]

OCIO! dimenticavo... l'ultima versione di Joomla! non è la 1.5.7 ma la 1.5.9 

[sali40]

se era joomla 1.5.7 è possibile che, entrando, hanno anche potuto verificare il contenuto del configuration.php.

VEdi di farti cambiare pure nome e password del database.


(Ma perché le faranno a fare le versioni aggiornate, mi chiedo io?  )

[r-evolving]

Comunque prova a sentire, a volte i backup li fanno lo stesso ma te li danno solo se li contatti.

..e se li paghi: molti hoster effettuano backup periodici ma spesso e volentieri nel contratto non è previsto la fornitura o il restore, bisogna pagarlo a parte.

[melmar20]

mi sono fatto fare il backup ed ho ripristinato tutto, almeno spero.

Ho aggiornato joomla  alla versione 1.5.9.

Ora però la domanda è la seguente:

- come è potuto accadere una cosa del genere??

- come mai hanno attaccato proprio il mio sito (che io non ho fatto mai male a nessuno    )??

[r-evolving]

Melmar20,
considera che appena viene scoperta una vulnerabilità in un sistema, si scatena la caccia alle versioni fallaci per la gare di defacement (nella migliore delle ipotesi).
Hanno pizzicato il tuo sito perchè non essendo aggiornato da diverso tempo offriva autostrade di ingresso senza casello ai male intenzionati.

Gli aggiornamenti vanno effettuati prima di subito. Sempre!
 

[BlackFenix]

Ragazzi, per chi ha un sito, messo su un hoster che supporta gli Script che richiedono lo Ioncube Php Loader, consiglio di scaricare e installare su joomla il jdefender, che potete scaricare in versione di prova, rinnovabile ogni 30 giorni gratuitamente da qui http://joomsuite.com/ 

[lutherbli]

Spero di non essere OT, ma proprio al riguardo del jdefender come è congigliabile configurarlo?
Io ho lascito i parametri di default, ma andando poi a disattivarli questi si sono cancellati... ora che desidero riattivare il plugin, lo trovo vuoto....
chi conosce jdefender per darmi una mano?

[Oled]

A me da poco hanno hackerato il sito..Vi posso solo dire che mi hanno sostituit la index con un trojan e non capisco come abbiano potuto fare perchè di componenti installati ne hoi pochissimi e sempre aggiornati ecco perchè ho protetto la cartella administrator tramite pass sperando che tenga..Sui componenti ho solo un dubbio su SqUeReOshow che non è catalogato come bucato ma secondo me cè vulnerabilità..