Back to top

Autore Topic: Attacco Joomla 1.5.14  (Letto 3155 volte)

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Attacco Joomla 1.5.14
« il: 25 Set 2009, 09:57:37 »
Salve ho ricevuto, come amministratore, questo messaggio dal sito che gestisco:

Salve,

è stata inviata una richiesta di reset della password per questo account OKKIO il mensile della Provincia di Trapani .  Per resettare la tua password, avrai bisogno di inviare questo codice per verificare che la richiesta sia legittima.

Il codice è xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (ho cambiato io).

Clicca sulla URL seguente per inserire il codice e procedere al reset della tua password.

http://www.okkiosullaprovincia.it/index.php?option=com_user&view=reset&layout=confirm

Grazie.


Premesso che non ho fatto nessuna richiesta di reset password, dopo di che non sono piu riuscito ad entrare comme amministratore nel sito.

Cosa è Successo?  ??? ??? ??? ??? ??? ???


Successivamente sono andato nel DB e o resettato la password di amministratore, cosi facendo sono riuscito a rientrare come amministratore e resettare le password. Controllando i dati di accesso al sito l'ip incriminato è: 78.101.235.0 proveniente dal Qatar. Okkio...... :-\

Mi aspetto altri attacchi...



Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #1 il: 25 Set 2009, 10:04:01 »
una domanda. avevi per caso come nome utente ADMIN?
Evisole Web agency a Vicenza

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #2 il: 25 Set 2009, 10:08:12 »
no cambio sempre il nome, e per ogni sito un nome diverso.  ;)

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #3 il: 25 Set 2009, 10:09:49 »
Sto utilizzando un componente, gratuito, IP filters che blocca gli ip sospetti..... ;) lo trovate qua:
http://extensions.joomla.org/extensions/access-a-security/site-access/9390
« Ultima modifica: 25 Set 2009, 10:11:57 da JoomLena »

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #4 il: 25 Set 2009, 10:25:55 »
anche se lo avrai già fatto, è utile ricordare che in casi simili è indispensabile modificare tutte tutte le credenziali di accesso, database ed ftp comprese..
altrimenti potrebbe essere tutto inutile..

e ovviamente fare le copie..
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #5 il: 25 Set 2009, 10:35:25 »
cmq sottolineo che non ha fatto danni al sito (non avrà avuto il tempo), in questo caso è stato richiesto un reset della password, che nel caso io avessi confermato con quel link, inserendo il codice che io ho nascosto con "xxxxxx", sarebbe pototu entrare con nome: admin e password: admin.

Però un dubbio mi rimane, perchè dopo questa email sospetta che ho ricevuto, io non riuscivo ad entrare come amministratore e non entravo neanche cone nome: admin e password: admin. Mha! >:(

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #6 il: 25 Set 2009, 10:39:27 »
Citazione
e non entravo neanche cone nome: admin e password: admin.

non capisco.. prima dell'attacco entravi con admin/admin o nella parte quotata ti riferisci al tentativo temporalmente eseguito dopo la procedura illustrata nella guida?

(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #7 il: 25 Set 2009, 10:44:57 »
no ripeto io cambio sempre i dati di accesso. Pensando che era in atto un reset passoword, avevo provato ad entrare nome: admin e password: admin (pensando di anticipare l'intruso) e ripeto la cosa strana è che in nessun caso riusci ad accedere lato admin.  ::) ::) ::) ::)

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #8 il: 25 Set 2009, 11:19:47 »
no cambio sempre il nome, e per ogni sito un nome diverso.  ;)

altra domanda  ;)

fammi un esempio di nome utente e password che di solito usi per i tutoi siti.

chiaramente metteli diversi da quelli tuoi  ;) ;) ;)
Evisole Web agency a Vicenza

Offline JoomLena

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #9 il: 25 Set 2009, 11:23:36 »
nome: appartamentox&
password: (metallaro£

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco Joomla 1.5.14
« Risposta #10 il: 26 Set 2009, 17:31:43 »
ok
Evisole Web agency a Vicenza

 



Web Design Bolzano Kreatif