Attacco Joomla 1.5.14

[JoomLena]

Salve ho ricevuto, come amministratore, questo messaggio dal sito che gestisco:

Salve,

è stata inviata una richiesta di reset della password per questo account OKKIO il mensile della Provincia di Trapani .  Per resettare la tua password, avrai bisogno di inviare questo codice per verificare che la richiesta sia legittima.

Il codice è xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (ho cambiato io).

Clicca sulla URL seguente per inserire il codice e procedere al reset della tua password.

http://www.okkiosullaprovincia.it/index.php?option=com_user&view=reset&layout=confirm

Grazie.

Premesso che non ho fatto nessuna richiesta di reset password, dopo di che non sono piu riuscito ad entrare comme amministratore nel sito.

Cosa è Successo? 


Successivamente sono andato nel DB e o resettato la password di amministratore, cosi facendo sono riuscito a rientrare come amministratore e resettare le password. Controllando i dati di accesso al sito l'ip incriminato è: 78.101.235.0 proveniente dal Qatar. Okkio......

Mi aspetto altri attacchi...

[carlodamo]

una domanda. avevi per caso come nome utente ADMIN?

[JoomLena]

no cambio sempre il nome, e per ogni sito un nome diverso. 

[JoomLena]

Sto utilizzando un componente, gratuito, IP filters che blocca gli ip sospetti..... lo trovate qua:
http://extensions.joomla.org/extensions/access-a-security/site-access/9390

[56francesco]

anche se lo avrai già fatto, è utile ricordare che in casi simili è indispensabile modificare tutte tutte le credenziali di accesso, database ed ftp comprese..
altrimenti potrebbe essere tutto inutile..

e ovviamente fare le copie..

[JoomLena]

cmq sottolineo che non ha fatto danni al sito (non avrà avuto il tempo), in questo caso è stato richiesto un reset della password, che nel caso io avessi confermato con quel link, inserendo il codice che io ho nascosto con "xxxxxx", sarebbe pototu entrare con nome: admin e password: admin.

Però un dubbio mi rimane, perchè dopo questa email sospetta che ho ricevuto, io non riuscivo ad entrare come amministratore e non entravo neanche cone nome: admin e password: admin. Mha!

[56francesco]

e non entravo neanche cone nome: admin e password: admin.

non capisco.. prima dell'attacco entravi con admin/admin o nella parte quotata ti riferisci al tentativo temporalmente eseguito dopo la procedura illustrata nella guida?

[JoomLena]

no ripeto io cambio sempre i dati di accesso. Pensando che era in atto un reset passoword, avevo provato ad entrare nome: admin e password: admin (pensando di anticipare l'intruso) e ripeto la cosa strana è che in nessun caso riusci ad accedere lato admin. 

[carlodamo]

no cambio sempre il nome, e per ogni sito un nome diverso. 

altra domanda 

fammi un esempio di nome utente e password che di solito usi per i tutoi siti.

chiaramente metteli diversi da quelli tuoi 

[JoomLena]

nome: appartamentox&
password: (metallaro£

[carlodamo]

ok