MI HANNO BUCATO IL PORTALE

[pinguino]

Ciao ragazzi,
io utilizzo joomla 1.0.10 con cui ho creato il portale www.toroclub.org su server linux di mia proprietà.
Da alcuni giorni quando entro nel portale mi trovo una pagina di acker turchi che modificano il mio index.php sostituendolo e in alcuni casi anche aggiungendo dei files tipo immagini nella directori. Ogni giorno sostituisco l'index.php ed elimino eventuali files, ma io e gli utenti del portale iniziamo ad essere abbastanza nervosi.
Sto ovviando al problema creando un altro portale (www.toroclub.com) con la fatica di dover trasferire foto news e contenuti vari.
1- Qualcuno sa dirmi come possono essere entrati e se esiste una patch?
2- Come posso migrare la lista degli utenti con relative user password e-mail... ?

Grazie Luca

[Bettinz]

ci sono diversi thread sull'argomento..
aggiorna gli eventuali componenti bucati (se ne hai)..
poi so di un host che per problemi di sicurezza è stato bucato, quindi escludendo ogni colpa a Joomla (T*****t)

[pinguino]

Sul server ho diversi altri portali come ad esempio www.stadiogoal.it www.eventi.to.it www.lusymusic.com o www.cartuningdesign.com che non hanno subito attacchi quindi il problema e su joomla altrimenti mi avrebbero devastato l'intero server..... comunque sto portando avanti una denuncia con la polizia postale anche se penso nn servirà a molto visto che il portale da cui arrivano gli attacchi e in turchia (http://www.ulkuocaklari.org.tr)....

[ste]

Hai verificato se tra i componenti c'è uno di questi?
http://www.joomla.it/index.php?option=com_smf&Itemid=128&topic=7474.0

[holly]

Ragazzi, ho già postato su un altro topic:

a me hanno hackerato una installazione base di joomla senza componenti aggiuntivi pertanto il problema sta anche nel core.....

holly

[Bettinz]

se non metto alcune cartelle a 777 nn mi va J!..
ho un backup del sito ogni 2 ore, ma come situazione è invivibile..
dal team di J! novità? (tipo 1.0.11 o novità sulla 1.5)

[ramses_2th]

....... la situazione di joomla è critica ......come lo è anche la situazione che questi "signori" denunciano. Leggete l'html della index cambiata ( in questo caso di www.toroclub.org

Certo il loro modo di denunciare la cosa è sbagliata...... ma leggendolo ....mi ha fatto riflettere, e magari come me anche altre persone ....in qualche modo credo che il loro intento sia proprio questo e non tanto "distruggere" siti web ( di poko intteresse tra l'altro).

[ggfast]

Non lasciate le cartelle con permessi scrittura 777 e file 666 se non per effettuare cose strettamente necessarie.
So che la cosa è abbastanza noisa da effettuare dare e rimuovere i permessi da FTP quando dobbiamo fare una modifica... ma al momento in questa "guerra" possiamo solo difenderci.

Sono nuovo cosa vuol dire?

[ramses_2th]

Sono codici di permesso di scrittura/lettura/esecuzione di file e cartelle sul server.

In pratica se ti connett al tuo server con un programma di FTP, vedrai accanto ad ogni file e cartella un codice del genere:

nome cartella     --rw----   

bene quel --rw----   indica che la cartella e leggibile e scrivibile.
questa condizione è data da quasti codici ( cliccandoci su si puo' apreire una finestra che ti permette di modificarne le condizioni).


questo ti sarà piu' chiaro
http://guide.solohosting.it/guida.php?id=28&sezione=configurazioni

[Tibe]

Ragazzi scusatemi se mi intrometto ...
Sono dello Staff di Clubalfa.it e vorrei segnalare lo stesso problema subito ad opera dei turchi  !
Purtroppo il nostro admin è in ferie ed io non sono in grado di ovviare al problema, quindi chiedo solamente se fosse possibile inserire un testo da parte Vs. per avvertire l'utenza della situazione in essere.
Grazie per quanto vorrete fare.
Un saluto,

Tibe

[ramses_2th]

........ questo tipo di attacco .....mi risulta nuovo, molto spartano e senza dichiarazione alcuna.

devi entrare tramite un FTP, e cambiare il file Index.html


ciao

[Tibe]

........ questo tipo di attacco .....mi risulta nuovo, molto spartano e senza dichiarazione alcuna.

devi entrare tramite un FTP, e cambiare il file Index.html


ciao

Scusami Ramses, parli del mio portale ? ... Se si, io non ho idea di che significhi entrare tramite FTP ... purtroppo il nostro admin è in ferie e a me spiace molto per i nostri utenti.

[ggfast]

Sono codici di permesso di scrittura/lettura/esecuzione di file e cartelle sul server.

In pratica se ti connett al tuo server con un programma di FTP, vedrai accanto ad ogni file e cartella un codice del genere:

nome cartella     --rw----   

bene quel --rw----   indica che la cartella e leggibile e scrivibile.
questa condizione è data da quasti codici ( cliccandoci su si puo' apreire una finestra che ti permette di modificarne le condizioni).


questo ti sarà piu' chiaro
http://guide.solohosting.it/guida.php?id=28&sezione=configurazioni

Grazie sei stato illuminante... vediamo se ho anche appreso... il livello zero è quello migliore a fini della sicurezza. Quindi mettendo zero si è tranquilli (relativamente).
Ciao e grazie

[ramses_2th]

Scusami Ramses, parli del mio portale ? ... Se si, io non ho idea di che significhi entrare tramite FTP ... purtroppo il nostro admin è in ferie e a me spiace molto per i nostri utenti.

...si parlavo del tuo portale, purtroppo, per aiutarti, dovresti dare indicazioni sul tuo provider, nome utente e password, il che ......non è tanto consigliabile (il tuo Admin andrà su tutte le furie peggio dei tuoi utenti). Ti consiglio di lasciarlo così almeno fino al ritorno del web master, i tuoi utenti capiranno.

[Tibe]

...si parlavo del tuo portale, purtroppo, per aiutarti, dovresti dare indicazioni sul tuo provider, nome utente e password, il che ......non è tanto consigliabile (il tuo Admin andrà su tutte le furie peggio dei tuoi utenti). Ti consiglio di lasciarlo così almeno fino al ritorno del web master, i tuoi utenti capiranno.

Grazie Ramses ...  Tra l'altro ho scoperto che il forum è OK ! Quindi fra mail e chat lo sto linkando agli utenti che riesco a trovare in giro.

Un salutone

[pinguino]

Ciao ragazzi,
torno ora dalle vacanze e la situazione e peggiorato, ora oltre a ToroClub hanno bucato anche StadioGoal. Non era mia intenzione fare nessuna critica a Joomla che uso da diverso tempo e con cui ho creato diversi portali con facilità e con buona configurabilità.
Qui di seguito vi posto un link - http://www.zone-h.org/index.php?option=com_attacks&Itemid=43&filter=1 - dove potete inserire ad esempio toroclub.org e vedere il tipo di attacco chi ha attaccato e gli altri siti ho portali attaccati scoprirete che è un vero e proprio massacro. Il gruppo che mi ha bucato si chiama PSYCH@ e attualmente ha bucato 2834 siti o portali e il nimero cresce di giorno in giorno. Io sono pronto a dare battaglia sia legale che informatica a queste MERDE....

[alexred]

Ciao Pinguino,
da quale componente credi siano passati ?
Puoi verificare se il tuo server ha il register global on ?
Questi attacchi sono possibili solo da server che hanno register global on.