sito violato per la 3za volta! come fare?

[mayerlink]

Il mio sito è stato violato per la terza volta, l'ultima con joomla 1.5.11!
a livello sia di front che di back end.
digitando l'indirizzo (anche del pannello di amministrazione) appare la pagina dell'hacker.
ho ricevuto una mail così:
"Salve,
è stata inviata una richiesta di reset della password per questo account mayerlink .  Per resettare la tua password, avrai bisogno di inviare questo codice per verificare che la richiesta sia legittima.
Il codice è d98142168b6c31c6ba25c722f58bade0.
Clicca sulla URL seguente per inserire il codice e procedere al reset della tua password."

Ho dovuto cancellare i files index.php e non riesco a ripristinare la frontpage originale nè ad entrare nall'amministrazione.
Dopo le precedenti violazioni avevo cambiato le password, ma evidentemente non è bastato.
Qualcuno può aiutarmi per ripristinare la situazione normale? come mai gli hackers violano così facilmente il mio sito? come fare per evitarlo?
grazie

[ramses_2th]

Quali estensioni hai installato ?

Il tuo hosting cosa ti ha detto a riguardo ?

[mayerlink]

il mio hosting è joomlahost.it. ho inviato un ticket all'assistenza ed attendo risposta.
allego elenchi delle componenti e dei moduli installati, facendo presente che non tutti sono attivati e che ora non riesco ad entrare nel back end.
grazie

[allegato eliminato da un amministratore essendo passati più di 365 giorni]

[minimoto69]

Anche a me lo hanno violato per la terza volta ... un paio di volte hanno sostituito aggiungendo un modulo la mia web page con una dove richiedevano i dati per la carta di credito ... ho cambiato completamente sito e dominio e ora mi hanno ricraccato la home page aggiungendo un collegamento invisibile ad un sito che installa dei virus ...
il sito e' //reycross.net/lib/index.php    non cliccatelo perche' tenta di installare i virus .. Avast me li ha bloccati ... ma nella homepage c'e' e va sui miei utenti e clienti / visitatori ...
il mio sito e'  www.minimoto69.com    me ne sono accorto da solo ...
versione installata e' 1.5.10

Grazie a chiunque mi sappia indirizzare su come eliminare sta cosa e proteggere in modo serio il tutto ...
Paolo


PS: sono riuscito a scaricarmi tutto il sito sul mio pc e se cerco reycross all'interno dei files ... praticamente e' in tutti i files index di tipo html ...

[frascan]

Ciao ad entrambi.
Le cause della penetrazione dei siti web da parte di lamers più che di hackers possono essere molteplici.
Joomla è un ottimo cms ed anche notevolmente sicuro.
A mio avviso gli attacchi portati a buon fine su un sito devono essere attentamente analizzati per comprendere quale vulnerabilità sia stata sfruttata per penetrare nel sito.
Come primo consiglio vi suggerisco di accedere via ftp alla root del sito ed analizzare i files presenti per determinare il problema.
In casi come questi, attacchi ripetuti con successo, mi sorge il dubbio che il problema possa essere sui vostri pc. Magari avete delle backdoor nascoste o degli scripts che vi sniffano le password.

[minimoto69]

Ciao,
grazie mille per la risposta ... non sono un grande esperto della materia ... sopravvivo, ma non essendo il mio mestiere, mi basta ...
solo un dubbio ...
secondo il gestore non ci sono piu' stati accessi FTP dal mio ultimo ... dove tutto era ok ...
si parla del giorno dell'installazione della versione 1.5.10
Non ho moduli "strani" installati, il sito e' relativamente semplice ... non puo' essere che ci sia gia' qualcosa nel pacchetto joomla che apre le porte su richiesta o che ci sia un bug che permette l'upload e l'esecuzione di un qualcosa ?
Date dei files ed accessi non lasciano ombra di dubbio ...

[frascan]

Ciao,
il fatto che non ci siano stati accessi ftp significa che non sono state sniffate o rubate le tue password.
Di conseguenza l'attacco dovrebbe essere stato portato dall'esterno sfruttando delle vulnerabilità del server o anche di joomla.
Ci sono varie tecniche che permettono di inviare delle richieste ad un server facendogli assumere comportamenti inconsueti e che possono comprometterne la sicurezza. Come dicevo prima nei casi di attacchi portati a termine la migliore difesa è cercare di capire in che modo sia stato condotto l'attacco. Analizzare attentamente i file di logs del web server è molto utile in questi casi.
Non ho cliccato sul tuo sito per ovvi motivi. Però mi dicevi di avere la versione joomla 1.5.10 installata. Il consiglio è quello di mettere a posto il sito ed aggiornare joomla all'ultima versione.
Ovviamente il discorso che ho fatto è semplificato al massimo e fatto alla cieca non avendo possibilità di analisi dell'attacco al tuo sito.
Un buon sito comunque dove verificare falle di sicurezza è secunia.com che ha un database in merito alle falle di sicurezza individuate.
Tieni presente che ci sono ragazzini dispettosi che vanno a controllare le falle di sicurezza e si divertono a provarle sui siti dei poveri malcapitati. Da qui la necessità di tenere semrpe aggiornati i vari applicativi con cui si lavora! 

[= odino =]

Il mio sito è stato violato per la terza volta, l'ultima con joomla 1.5.11!
a livello sia di front che di back end.
digitando l'indirizzo (anche del pannello di amministrazione) appare la pagina dell'hacker.
ho ricevuto una mail così:
"Salve,
è stata inviata una richiesta di reset della password per questo account mayerlink .  Per resettare la tua password, avrai bisogno di inviare questo codice per verificare che la richiesta sia legittima.
Il codice è d98142168b6c31c6ba25c722f58bade0.
Clicca sulla URL seguente per inserire il codice e procedere al reset della tua password."

Ho dovuto cancellare i files index.php e non riesco a ripristinare la frontpage originale nè ad entrare nall'amministrazione.
Dopo le precedenti violazioni avevo cambiato le password, ma evidentemente non è bastato.
Qualcuno può aiutarmi per ripristinare la situazione normale? come mai gli hackers violano così facilmente il mio sito? come fare per evitarlo?
grazie

quali username e password hai cambiato?

[mayerlink]

grazie per le risposte

ma sono ancora in difficoltà. nelle occasioni precedenti mi bastava sostituire l'index.php della root e di administrator, ora viene caricata sempre la pagina introdotta dallo slamer.
dove diavolo può essere l'intrusa? come faccio a rintracciarla e neutralizzarla? e poi? mi conviene forse cancellare tutto, ricaricare joomla e rifare il sito ex novo?

per odino: avevo cambiato le password ftp, pannello di amministrazione e pannello di controllo

grato per ogni consiglio

[frascan]

hai notato se per caso esiste una pagina index.html o altre pagine strane che non fanno parte dell'installazione di joomla?
verifica anche se c'è qualcosa di strano nell'index.php del template che stai usando.
prova anche a verificare eventuali file .htaccess presenti nella root del sito. usando l'.htaccess si può impostare un redirect.

[= odino =]

grazie per le risposte

ma sono ancora in difficoltà. nelle occasioni precedenti mi bastava sostituire l'index.php della root e di administrator, ora viene caricata sempre la pagina introdotta dallo slamer.
dove diavolo può essere l'intrusa? come faccio a rintracciarla e neutralizzarla? e poi? mi conviene forse cancellare tutto, ricaricare joomla e rifare il sito ex novo?

per odino: avevo cambiato le password ftp, pannello di amministrazione e pannello di controllo

grato per ogni consiglio

e quelle di MySQL?

[mayerlink]

per odino
ho cambiato anche quella per l'accesso ai database