Back to top

Autore Topic: Come rendere sicuro Joomla contro attacchi degli hacker  (Letto 74268 volte)

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12790
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #40 il: 04 Dic 2009, 01:52:38 »
Io ho fatto l'opposto. Non mi piaceva admin ed ho risolto semplicemente cambiando admin in tonicopi nella gestione utenti. Se quindi tutti gli articoli caio li vuoi far apparire di admin, cambi caio in admin (basta cambiare solo il campo nome).
Oppure l'autore può essere cambiato dai parametri di ogni articolo.
E sicuramente non dovrebbe essere complicato cambiare l'autore con una query al database  ;D
joomlacsszengarden.com = il giardino dei css di Joomla!
L'attesa del piacere è essa stessa... piacere!

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #41 il: 04 Dic 2009, 02:48:57 »
Aspetta, se io ho 100 articoli scritti da admin ID 62, creando un'altro superadministrator e cancellando l'ID 62, quei 100 articoli rimarranno orfani.

Occorrerebbe uno script che dica:

nella tabella content tutti i 62 che si trovano nel campo ID autore vanno trasformati nel nuovo ID

Offline rainbow

  • Esploratore
  • **
  • Post: 74
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #42 il: 04 Dic 2009, 19:18:26 »
Aspetta, se io ho 100 articoli scritti da admin ID 62, creando un'altro superadministrator e cancellando l'ID 62, quei 100 articoli rimarranno orfani.

Occorrerebbe uno script che dica:

nella tabella content tutti i 62 che si trovano nel campo ID autore vanno trasformati nel nuovo ID

Voglio dare anch'io il mio contributo:
per la tabella "new_content" (nuovo prefisso = "new_" al posto di "jos_") per i campi "created_by" e "modified_by"  se per es. il nuovo ID è 100 in sql il codice sarebbe questo:

UPDATE `new_content` SET `created_by` = 100 WHERE `created_by` = 62
UPDATE `new_content` SET `modified_by` = 100 WHERE `modified_by` = 62

queste query si potrebbero eseguire direttamente in phpmyadmin nel tab SQL del relativo database.

Comunque se da phpmyadmin si fa una ricerca del valore 62 su tutti i campi di tutte le tabelle del nostro database si nota che ci sono diversi riferimenti al vecchio admin (anche da parte di componenti per es. virtuemart - se installato).

Secondo me è da preferire l'intervento diretto da phpmyadmin (query sql) dopo aver verificato ovviamente con una select (tab Cerca) tutti i riferimenti al vecchio admin, piuttosto che lanciare uno script php dall'esterno poichè è difficile prevedere tutti i componenti installati da scansionare via php.
« Ultima modifica: 04 Dic 2009, 19:52:53 da rainbow »

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #43 il: 04 Dic 2009, 20:03:26 »
Ciao rainbow grazie del contributo, di sicuro molto utile

Offline bigham

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3662
  • Sesso: Maschio
  • Contagiato dalla Joomlaite :)
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #44 il: 05 Dic 2009, 20:08:20 »
Ciao marco_g

Niente di più semplice, per chi conosce l'SQL. ;D ;D
Basta una query SQL del tipo:
Codice: [Seleziona]
UPDATE jos_content SET created_by = 63 WHERE created_by = 66
Dal momento che l'autore dell'articolo è memorizzato nel campo created_by di ogni record con il suo id, bisogna anzitutto ricavare l'id dell'utente che deve diventare autore degli articoli (nel mio caso è il valore 63). Basta visualizzare il contenuto della tabella jos_users e decidere chi sarà l'utente fortunato ;D

La prima parte della query
Codice: [Seleziona]
UPDATE jos_content SET created_by = 63
aggiorna la tabella jos_content impostando il campo created_by al valore 63 (id dell'utente che diventerà autore degli articoli)
Ho aggiunto però la possibilità (opzionale se si vuole) di condizionare l'aggiornamento del campo created_by della tabella dei contenuti. La condizione WHERE created_by = 66  prevede che verrannno aggiornati solo quei record in cui l'autore ha l'id=66.

Ciaooooo! ;D
Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia.

Offline bigham

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3662
  • Sesso: Maschio
  • Contagiato dalla Joomlaite :)
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #45 il: 05 Dic 2009, 20:12:40 »
Ne aggiungo un'altra:

Se si vuole azzerare il contatore di lettura di ogni articolo basta eseguire questa query:

Codice: [Seleziona]
update jos_content set hits = 0

Scusate m'è scappato  ;D ;D
Ma io con l'SQL mi ci diverto  ;D ;D
Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia.

Offline stimart

  • Nuovo arrivato
  • *
  • Post: 21
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #46 il: 14 Dic 2009, 22:22:46 »
La procedura più veloce per cambiare l'ID di default del superadministrator, per chi deve effettuare una installazione "nuova" di Joomla (quindi PRIMA di installare), è la seguente:

Aprire il file installation/installer/helper.php e cercare la stringa:
Codice: [Seleziona]
$query = "INSERT INTO #__users VALUES (62, 'Administrator', 'admin', ".$db->Quote($adminEmail).", ".$db->Quote($cryptpass).", 'Super Administrator', 0, 1, 25, '$installdate', '$nullDate', '', '')";
sostituire il numero 62 con un altro a piacere.

Sempre nello stesso file cercare anche:
Codice: [Seleziona]
$query = "INSERT INTO #__core_acl_aro VALUES (10,'users','62',0,'Administrator',0)";
e sostituire anche qui il numero 62 col numero precedentemente scelto.

Salvare ed avviare la procedura di installazione di Joomla.
 :) Spero possa esservi stato di aiuto!
Ciao
Il mio INTJ

Offline rainbow

  • Esploratore
  • **
  • Post: 74
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #47 il: 14 Dic 2009, 22:58:49 »
Oppure senza intervenire nel codice sql, per una nuova installazione si possono installare gli esempi e quando poi si crea un altro utente il suo id avrà un valore intorno a 70.
« Ultima modifica: 15 Dic 2009, 00:56:04 da rainbow »

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #48 il: 21 Dic 2009, 15:51:56 »
Salve. Ho letto tutti i post ed ho seguito i consigli. Mi chiedo solo una cosa: per quanto riguarda la modifica al file htaccess che dovrebbe impedire la lettura dei file xml, è possibile che impedisca di far funzionare la mappa del sito xml per i motori di ricerca?
Grazie, ciao.

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #49 il: 21 Dic 2009, 16:06:48 »
per quanto riguarda la modifica al file htaccess che dovrebbe impedire la lettura dei file xml, è possibile che impedisca di far funzionare la mappa del sito xml per i motori di ricerca?

Io ho installato SEF Service Map e non ho riscontrato alcun problema.
Comunque la modifica al file htaccess nella 1.5.15 dovrebbe non essere necessaria, perché esce già con il codice modoficato.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #50 il: 21 Dic 2009, 16:15:18 »
opps
scusate tante, non mi ero accorto che era un topic della sezione articoli e quindi avevo spostato in "sicurezza"  e di seguito rimesso a posto..
 :-[
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #51 il: 21 Dic 2009, 16:20:31 »
Grazie per la risposta celere.
Se non ricordo male la modifica al file htaccess deve essere attivata. Cioè, bisogna togliere i vari # davanti alle seguenti righe.

#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>

Almeno mi pare così nell'aggiornamento, non so nel pacchetto completo di joomla.

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #52 il: 21 Dic 2009, 16:33:22 »
Non ho fatto caso a questo, avevo dato per scontato che nella 1.5.15 non fosse necessaria la modifica e quindi non ho messo mano al file, appena posso verifico.
Nel frattempo se fai dei test, facci sapere.

Di nulla Fra, può capitare  ;)

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #53 il: 21 Dic 2009, 20:04:23 »
Allora.. ho attivato la modifica del file htaccess e pare che non dia problemi alla mappa del sito generata da xmap.

Ho provato a chiamare un qualsiasi file xml da browser ma, giustamente, mi viene negato l'accesso. Mentre il file generato da xmap è accessibile (chiamato con la url dinamica generata da xmap).
Buon Natale a tutti!

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #54 il: 21 Dic 2009, 21:00:18 »
Ciao, buon natale anche a te, e grazie per i test che hai condiviso

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #55 il: 22 Dic 2009, 15:32:00 »
Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.

cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:

libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php

In questi file si fa riferimento al jos_.

Che ne pensate?

Offline n_drew

  • Nuovo arrivato
  • *
  • Post: 34
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #56 il: 22 Dic 2009, 18:16:39 »
Riguardo all'accesso e lettura dei file xml di un sito, non ho capito bene che problemi di sicurezza potrebbero comportare.

Offline marco_g

  • Appassionato
  • ***
  • Post: 650
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #57 il: 22 Dic 2009, 18:49:32 »
In questi file si fa riferimento al jos_.
Che ne pensate?

Effettivamente hai ragione, pur non cambiandoli a me funziona, non ti saprei dire di preciso cosa comporta.


Riguardo all'accesso e lettura dei file xml di un sito, non ho capito bene che problemi di sicurezza potrebbero comportare.

Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.

Offline bigham

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3662
  • Sesso: Maschio
  • Contagiato dalla Joomlaite :)
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #58 il: 22 Dic 2009, 20:13:07 »
Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.

cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:

libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php

In questi file si fa riferimento al jos_.

Che ne pensate?

Ciao sauro.
A questo proposito starei tranquillo. L'importante è che, dopo aver cambiato i prefissi alle tabelle, venga modificato il prefisso presente nel file configuration.php.

Quei valori che tu hai, giustamente indicato, sono per la maggior parte dichiarazioni di valori di default per delle variabili.
Nel caso ad esempio della variabile $prefix dichiarata nel file mysql.php o database.php il valore viene assegnato prelevandolo dai parametri di configurazione (presenti in configuration.php) e, solo nel caso che non fosse presente il parametro prefix, viene assegnato per default il valore 'jos_'

Citazione
(ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ )
Questo invece può essere un vero problema.
Se hai creato tu delle queries e non hai usato il prefisso #__ potresti riscontrare degli errori.

Ma la regola vuole che quando si scrive una query e la si passa al framework con il metodo setQuery il prefisso #__ (che non è generico ;)) venga sostituito con il prefisso indicato nei parametri di configurazione.

Considera il rpefisso #__ come un carattere jolly che verrà sostituito con il vero prefisso delle tabelle.



Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia.

Offline n_drew

  • Nuovo arrivato
  • *
  • Post: 34
  • Sesso: Maschio
    • Mostra profilo
Re:Come rendere sicuro Joomla contro attacchi degli hacker
« Risposta #59 il: 22 Dic 2009, 23:22:56 »
Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.
Joomla! 1.5.15
« Ultima modifica: 04 Gen 2010, 20:25:10 da K[o]dy »

 



Web Design Bolzano Kreatif