Autore Topic: sito hacked (Letto 3757 volte)

dario78 · « **il:** 02 Giu 2009, 10:34:35 »

ciao

ho subito un attacco di un certo "coderman".
mi ha cambiato index.php del template accessibile
mettendo la sua pagina con bandiera turca ecc...
non mi pare abbia cambiato altro (sto controllando) di pagine.
ha poi eliminato gli utenti e cambiato utente e pwd dell'admin.

la domanda è:
come diavolo ha fatto?

ha beccato la pwd di admin giusta, è entrato e dal pannello di amministrazione/modifica del template ha cambiato index.php + eliminato gli utenti o c'è altro secondo voi?

ora ho ripristinato index.php (che cmq anche prima aveva i permessi -rw-rw-r-- )e ripristinato
utenti cambiando ovviamente tutte le password.
ho anche cambiato il nome utente del super user.
devo fare altro?

ps: ho scritto qui perchè è basato su joomla fap.

grazie
ciao

RiccardoS · « **Risposta #1 il:** 02 Giu 2009, 14:38:18 »

basato su fap ok, ma con quale versione di joomla? I permessi sulle cartelle come erano? e sul file configuration.php?

dario78 · « **Risposta #2 il:** 02 Giu 2009, 21:09:10 »

Citazione da: RiccardoS - 02 Giu 2009, 14:38:18

basato su fap ok, ma con quale versione di joomla? I permessi sulle cartelle come erano? e sul file configuration.php?

allora, i permessi sulla cartella template, figli ecc... sono:
rwxrwxr-x

sul file configuration.php è:
r--r--r--

joomla versione:
1.5.3 Production/Stable [ Vahi ] 22-April-2008

grazie!

elpaso66 · « **Risposta #3 il:** 03 Giu 2009, 08:46:56 »

Questa discussione non c'entra nulla con FAP...
sarebbe stato meglio postarla altrove.

RiccardoS · « **Risposta #4 il:** 03 Giu 2009, 08:49:42 »

Citazione da: dario78 - 02 Giu 2009, 21:09:10

Citazione da: RiccardoS - 02 Giu 2009, 14:38:18
basato su fap ok, ma con quale versione di joomla? I permessi sulle cartelle come erano? e sul file configuration.php?

allora, i permessi sulla cartella template, figli ecc... sono:
rwxrwxr-x

sul file configuration.php è:
r--r--r--

joomla versione:
1.5.3 Production/Stable [ Vahi ] 22-April-2008

grazie!

i permessi sulle cartelle (tutte, non solo quella del template! a parte quelle dove eventualmente gli utenti devono caricare dei files e quelle tmp, logs e cache), consiglio di tenerli a 755, ovvero rwxr-xr-x.

in ogni caso, la colpa è della versione di joomla 1.5.3: è vecchissima! avresti dovuto aggiornarla un sacco di tempo fa!

dario78 · « **Risposta #5 il:** 03 Giu 2009, 19:11:44 »

forse hai ragione, ma il fatto è che è stato già complesso farlo diventare accessibile completamente all'epoca (per via del docman o altro) e quindi non ci ho più fatto nulla.

ora procedo all'aggiornamento.
1.5.3 -> 1.5.10
poi tplaccessibile
poi accesskey
poi core giusto?

tempo fa avevo visto una guida per l'aggiornamento.
vedo se la ritrovo perchè ho un pò paura per il core.

devo stare attento a non sovrascrivere personalizzazioni...

grazie
ciao

dario78 · « **Risposta #6 il:** 03 Giu 2009, 20:11:07 »

Citazione da: dario78 - 03 Giu 2009, 19:11:44

ora procedo all'aggiornamento.
1.5.3 -> 1.5.10
poi tplaccessibile
poi accesskey
poi core giusto?

tempo fa avevo visto una guida per l'aggiornamento.
vedo se la ritrovo perchè ho un pò paura per il core.

devo stare attento a non sovrascrivere personalizzazioni...

ho fatto tutto tranne i corepatches, perchè non ritrovo la guida.
basta scaricarsi i file e sostituirli?
ma vanno bene per la 1.5.10??

già noto una cosa strana però.
la scritta "you are here" rimane in inglese.
e "Fontsize" pure.
dove sbaglio?

grazie

RiccardoS · « **Risposta #7 il:** 04 Giu 2009, 12:06:49 »

forse hai preso la versione in inglese e non quella localizzata in italiano.
cmq ieri è uscito l'aggiornamento alla 1.5.11 io lo sto facendo ora.

i corepatches li trovi nel sito del progetto FAP e vanno bene per la 1.5.10

Autore Topic: sito hacked (Letto 3757 volte)

dario78

sito hacked

RiccardoS

Re:sito hacked

dario78

Re:sito hacked

elpaso66

Re:sito hacked

RiccardoS

Re:sito hacked

dario78

Re:sito hacked

dario78

Re:sito hacked

RiccardoS

Re:sito hacked