Sito Hackerato - Come controllare se il sito e' malevolo?

[gyra]

Ciao a tutti.
Un mio cliente ha subito un attacco a circa una decina di siti, con versioni differenti di joomla,dal vecchio 1.0 all'ultimo 1.5, ognuno con componenti e plugin diversi,ma attaccati tutti allo stesso modo.

Il risultato e' stato che il file index.php e' stato sostituito in tutti i siti con il classico file dimostrativo. (vero o falso che sia,ma questa e' un altra storia.)

Fra l'altro in uno dei siti  sono entrati anche nel componente ARTIO e hanno inserito delle url in piu' (sex,*** etc).

Quello che mi premeva sapere e':

c'e' il modo di controllare se, oltre al file index, sono state inseriti altri file infetti che generarno delle query inmodo da penalizzare il sito?

[56francesco]

Ciao a tutti.
Un mio cliente ha subito un attacco a circa una decina di siti, con versioni differenti di joomla,dal vecchio 1.0 all'ultimo 1.5, .....

molti purtroppono usano le stesse credenziali di accesso per tutti i loro siti...
sai se è il tuo caso?
comunque colgo l'occasione per sconsigliare a tutti tale pratica funesta...

per le verifiche non saprei se esiste qualche programma specifico, attendiamo la risposta di chi è esperto in sicurezza...

[gyra]

molti purtroppono usano le stesse credenziali di accesso per tutti i loro siti...
sai se è il tuo caso?

Assolutamente no: password erano state create ad arte dal gestore del server,
con buona lunghezza, termini alfanumerici, simboli etc.. e tutte rigorosamente diverse per ciascuno sito.

Inoltre esistevano altri sistemi di sicurezza come una precedente pagina  di accesso all'area di amministrazione,etc.

[56francesco]

solo per curiosità, come hanno fatto ad affilare dieci siti dello stesso utente?
c'era una ring, un elenco? 
altrimenti per beccarne dieci quanti ne dovevano visitare? 

[gyra]

Cc'e' una lista dei "partners" in home page,ma sono stati attaccati anche altri siti non presenti nella lista.
Pero' altri siti presenti nel server e non "pubblici" (usati come ambienti di test)non sono stati toccati.

 Penso che la situazione  più probabile e' avranno controllato il whois.

Vista la specificita' quindi dell'attacco, sospettiamo che i mandanti siano dei "concorrenti invidiosi", ma qui lo dico e qui lo nego.

[foxhy]

c'e' il modo di controllare se, oltre al file index, sono state inseriti altri file infetti che generarno delle query inmodo da penalizzare il sito?

Ciao dalla mia esperienza ti posso consigliare di leggere quello che ho fatto io dopo numerosi attacchi, leggi qua http://forum.joomla.it/index.php/topic,66172.msg289508.html#msg289508

[skiman]

Salve, scusate se mi intrometto nella discussione, ma proprio oggi una mia amica a cui avevo realizzato il sito per la sua attività, mi ha fatto notare che il sito aveva dei problemi.
Vado a controllare e ritrovo una bella paginetta di qualche s....o che si è passato il tempo !
In sito era realizzato con Joomla 1.5.3, prima di accede alla pagina index.php (quella che è stata taroccata) vi era una presentazione in html, che è tutt'ora visibile.
Io non sono molto pratico di queste cose, sono totalmente in confusione !
Cosa mi consigliate di fare ?
Visto che non lo avevo fatto in precedenza, posso fare un backup del sito adesso, considerando che posso accede al pannello di controllo, ma forse non al database msql ?
Se non ricordo male, credo che ci dovrebbe essere qualche componente o modulo di Joomla per il backup, sbaglio ?
Oppure posso farlo diciamo nel modo classico, copiando la cartella dalla root tramite ftp ?
Vi prego datemi una mano, sono disperato !
Dimenticavo, nel frattempo ho scaricato l'aggiornamento Joomla dalla 1.5.3 alla 1.5.11 !
Altra cosa, visto che la index.php è stata manomessa, può bastare sostituirla per far ripartire il sito, se si, procedo con l'aggiornamento della versione di Joomla ?

[gyra]

Ti consiglio di cancellare tutti i file del core(fai prima un back up) e rimetti su i file di joomla,
e ricolleghi il sito al databse settando il file configuration.php nella root. (tirati giu' i parametri prima di cancellare!)

Ti consiglio cmq sempre il back up
-del database
-dei file

sarebbe meglio manualmente da phpmyadmin x il database e i file via ftp,
oppure se hai problemi usa joompack o similari.

Mantieni sempre aggiornato il tuo joomla.

[skiman]

Ciao, al momento sembra che tutto funzioni bene, ho solamente rimosso la index.php che il "tizio" aveva modificato e poi ho aggiornato la versine di Joomla !
Speriamo che duri.

[gyra]

E' li che ti sbagli.

Spesso quest attacco "semi-inutile" cela la presenza dell'installazione di file malevoli all'interno del sito che richiamano virus per il visitatore o peggio.

Segui il consiglio di foxhy

Ciao dalla mia esperienza ti posso consigliare di leggere quello che ho fatto io dopo numerosi attacchi, leggi qua http://forum.joomla.it/index.php/topic,66172.msg289508.html#msg289508

dal messaggio:

Mi sono preso di pazienza e ho scaricato tutta la cartella del server sul mio PC e ho fatto queste operazioni:

- ho fatto fare una scansione accurata alla cartella scaricata dal server al mio antivirus kaspersky. Non ci credevo nemmeno io!! l'antivirus mi segnala due file che all'interno nascondevano un codice che richiamava una shell con tanto di password di accesso settata.

-ho controllato tutte le cartelle confrontandoli con quelle del pacchetto di installazione originale di joomla. Ho scoperto alcuni file (anche una cartella) che non avevano niente a che fare con quelle originali joomla. Alcuni nomi di questi file.php erano uguali a qualche nome di foto, componente ecc. veramente esistenti nel mio sito joomla . Apparentemente sembravano innocui ma all'interno c'erano cose veramente strane quasi incompressibili.

purtroppo confermo, e' capitato anche a me.

Usa un buon antivirus (aggiornato) per la scansione.