Autore Topic: Attacco Hacker (Letto 10616 volte)

nocchigraf · « **il:** 25 Ott 2008, 09:12:11 »

Stamani ho trovato il sito down a causa di un attacco hacker. Nonostante la versione 1.5.7, che quindi è diventata vulnerabile???

Davide

= odino = · « **Risposta #1 il:** 25 Ott 2008, 10:04:22 »

Citazione da: nocchigraf - 25 Ott 2008, 09:12:11

Nonostante la versione 1.5.7, che quindi è diventata vulnerabile.

Non diciamo idiozie, per favore.

Quando uno si prende la briga di fare certe affermazioni dovrebbe essere almeno coscente di cosa comportano.

Piuttosto descrivi le estensioni installate. Sei riuscito a recuperare la passwd di amministrazione?

nocchigraf · « **Risposta #2 il:** 25 Ott 2008, 10:27:03 »

Scusa la mia affermazione, voleva essere una domanda (ho corretto il testo).

Plugin installati: Docman, Community Builder, Database Backup, Control Access Login (disabilitato perchè non mi mandava più la email per confermare la richiesta d'accesso)

Avevo già subito un attacco a fine agosto, ma con la vecchia versione. In entrambi i casi l'hacker (dice) è turco.

Davide

= odino = · « **Risposta #3 il:** 25 Ott 2008, 11:07:00 »

ok buon per te fosse una domanda. No non è vulnerabile, molto probabilmente ha sfruttato le vulnerabilità di una delle estensioni installate, anche se al momento non posso essere molto preciso.
Dai un occhiata all'elenco delle estensioni ritenute insicure su Joomla.org.

Avevi mofidicato sia la pass FTP sia la pass d'amministrzione Joomla vero?

nocchigraf · « **Risposta #4 il:** 25 Ott 2008, 11:18:17 »

Sì, semmai definirmi co*****ne sarebbe poco.

Ho anche protetto la cartella "administrator" dal pannelo di controllo dello spazio web

Davide

= odino = · « **Risposta #5 il:** 25 Ott 2008, 11:20:58 »

no, io ti chiedo se avevi cambiato user e pass FTP, non di Joomla

nocchigraf · « **Risposta #6 il:** 25 Ott 2008, 11:57:57 »

Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

= odino = · « **Risposta #7 il:** 25 Ott 2008, 13:03:26 »

Citazione da: nocchigraf - 25 Ott 2008, 11:57:57

Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

Si unser e pass che usi per conneterti via FTP anche con filezilla

nocchigraf · « **Risposta #8 il:** 25 Ott 2008, 13:05:38 »

Citazione da: = odino = - 25 Ott 2008, 13:03:26

Citazione da: nocchigraf - 25 Ott 2008, 11:57:57
Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

Quelli non l'ho cambiati, ma lo faccio subito.

Si unser e pass che usi per conneterti via FTP anche con filezilla

= odino = · « **Risposta #9 il:** 25 Ott 2008, 18:59:24 »

10 su 10 che è entrato grazie a quelli, se non li avevi cambiati dall'ultimo attacco

dexter04 · « **Risposta #10 il:** 22 Gen 2009, 18:19:16 »

Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare

è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

g3n10z · « **Risposta #11 il:** 23 Gen 2009, 10:11:44 »

che ti devi rilassare...soprattutto se non gestisci nasa.gov!

cmq vorrei sapere secondo voi come ha fatto a prendergli le pass dell'ftp!
non sara' mica cosi pirla da lasciarle nel config!

56francesco · « **Risposta #12 il:** 23 Gen 2009, 10:54:23 »

cambiare periodicamente le credenziali di accesso (tutte) è ottima abitudine ed è una delle misure minime previste dal cosiddetto codice privacy (se è stato redatto il dps è scritto in chiaro anche li)
imho
in caso di oscuramento e se gli accordi non prevedono che debba farlo il cliente al quale ovviamente devono essere fornite credenziali di accesso ed istruzioni, chi ha commissionato un sito aziendale o commerciale se non sono state rispettate queste elementari norme di sicurezza (e ciò deve essere documentato) potrebbe richiedere un risarcimento alla web agency!
quindi statevi accorti, un attacco non è un evento imprevisto ed imprevedile ma al contrario in rete è la normalità a prescindere dal cms o dall'editor html utilizzato.

emgent · « **Risposta #13 il:** 24 Gen 2009, 10:23:50 »

Non mi fermerei solo a pensare che forse gli hanno sottratto le credenziali FTP, le cause reali secondo me sono ben altre.

Sarebbe carino se elencasse anche le versioni delle varie estenzioni, ancora meglio se accompagnate dai log.

Il cambio di codice puo` avvenire in tanti modi, ve lo garantisco, quindi se ci sono altre informazioni relative ben vengano, altrimenti direi che e` il caso di chiudere il thread evitando di fare cattiva informazione

emgent · « **Risposta #14 il:** 24 Gen 2009, 10:27:38 »

Citazione da: dexter04 - 22 Gen 2009, 18:19:16

Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

l` attacker non e` necessariamente l` ip che tu vedi nei log, solitamente vengono usati proxy o macchine (precedentemente violate) come punti di appoggio per fare run di piccoli applicativi che fanno scanning (tramite i motori di ricerca) con determinate stringhe dei componenti, per poi attaccare direttamente ed includere un codice malevolo.

Anche qui se ci fossero maggiori informazioni potremmo vedere e analizzare il problema.

P.S. io ricevo una media di 30 attacchi al giorno, dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)

peterrey · « **Risposta #15 il:** 05 Mag 2009, 17:09:08 »

ciao emgent
mi interessa quando hai detto

Citazione da: emgent - 24 Gen 2009, 10:27:38

Citazione da: dexter04 - 22 Gen 2009, 18:19:16
dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)

e ti spiego il motivo : Il cosiddetto hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto che un sito aveva un link che portava al mio sito hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker ( a top 100 ) .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito

= odino = · « **Risposta #16 il:** 05 Mag 2009, 18:45:20 »

Citazione da: dexter04 - 22 Gen 2009, 18:19:16

Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

1. dalla nigeria è un proxy

2. probabilmente aveva qualche dubbio sulla stabilità di expose

peterrey · « **Risposta #17 il:** 05 Mag 2009, 19:09:23 »

ciao odino
ho riaperto la discussione per questa segnalazione :un hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto che un sito aveva un link che portava al mio sito hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito

= odino = · « **Risposta #18 il:** 06 Mag 2009, 15:15:11 »

qualcosa puoi fare, ma ne vale la pena?

peterrey · « **Risposta #19 il:** 06 Mag 2009, 16:35:36 »

ciao odino
no non ne vale la pena e poi anche quell'esperienza mi è servita , l'unica tristezza è vedere il loro sito che lo usano come "bacheca dei defacetamenti "