Attacco ad un sito, cosa posso controllare

[ilenia]

il dominio www.p****.it ospitato presso s**** è stato sospeso perchè attaccato , i quali chiedono informazioni riguardo l'accaduto.
I componenti installati erano tutti ultima versione ed erano i seguenti:
joomla 1.5.15
phoca gallery 2.5.7
JCE editor 1.5.7

è già la seconda volta che accade nel giro di 10 giorni, il sito è stato completamente rinstallato da zero.
appare un file post.php nella cartella httpdocs con il seguente contenuto:
<?
if (isset($_POST['action']))
    {
    $action=$_POST['action'];
    }
else
   {
   print "<h1>Under construction!!!</h1>";
   exit;
   }
if ($action=="test")
   {
   print "test_ok";
   exit;
   }
if ($action=="send")
   {
   $realname         = $_POST['realname'];
   $from             = $_POST['from'];
   $replyto          = $_POST['replyto'];
   $contenttype      = $_POST['contenttype'];
   
   $subject          = $_POST['subject'];
   $message          = $_POST['message'];
   
   
   
   }
?>

Non ho idea di cosa controllare, potete darmi una mano su quali strade seguire, per capire cosa è stato a generare l'attacco?
grazie

[t3cnoSite]

Bella domanda...
potrebbe essere stato di tutto e di più a consentire l'attacco;
banalmente qualche componente non troppo affermato che non fa controllo su i dati inseriti, consentendo un attacco di bufferoverflow; o di SQLInjection o chissà cos altro...
ancora più banalmente il motivo potrebbero essere un tuo username e password troppo facili;
oppure credenziali di accesso ftp facili;
non è facile individuare la causa che ha consentito l'attacco...

[ilenia]

Ok, ma da dove si parte per capire il problema?
Intendo dire: cosa posso controllare?
l'hosting vorrebbe il dettaglio di quanto accaduto ed inoltre vorrei poter capire come fare in modo che non venga attaccato nuovamente fra 10 giorni.

[foxhy]

Inizia a leggere questo articolo:
http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html
Leggi anche questo post:
http://forum.joomla.it/index.php/topic,87662.0.html

La sicurezza non è mai sicura al 100% ma possiamo rendere il tentativo di accesso più difficoltoso

Buon natale a tutti

[MarcoJ]

Ciao ilenia,

prima di tutto proteggi il tuo sito, perche' altrimenti non farai mai in tempo.
Ci sono tantissimi articoli in proposito, per esempio http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html.
Tra l'altra io come misura di sicurezza ulteriore provvederei anche a definire un superadmin nuovo, cancellando il vecchio (perche' come noterai in joomla il superadmin ha sempre lo stesso numero di utente).
Inoltre ti consiglio di installare plugin utilissimi quali JSecure, che limitano l'accesso alla tua area di amministratore.
Comunque leggi anche http://forum.joomla.it/index.php/topic,88792.0.html.
Insomma non ci sono grandissime cose da fare, ma quelle vanno fatte tutte e sempre.

Quando tutto è a posto, devi capire cosa è accaduto al tuo sito.
Non ho mai usato phoca gallery, ma da quello che dici non è che hai attivato chissà quali moduli complicati o strani...
Cosi' a colpo d'occhio e per mia esperienza personale, la gran parte degli attacchi avviene perche' si riesce ad entrare dal lato amministratore e quindi quella è la prima porta da chiudere.
Più di una volta ho fatto impazzire amici con questi giochini.
Per il resto è difficile capire quale possa essere la via di attacco ad un sito, percheè in realtà ce ne sono talmente tante, che è già difficile elencarle tutte.
Mi domando anche se poi il gioco valga la candela, nel senso che se il sito è stato attaccato piu' volte, allora molto probabilmente lo sarà anche in futuro.
L'anilisi che occorrerebbe è molto complessa e mi sembra più saggio adottare le norme di sicurezza del caso e poi stai a vedere: molto probabilmente gli attacchi cesseranno.
Solo in caso negativo andrei ad approfondire.
Ciao

[jeckodevelopment]

è l'hosting che non è sicuro... scappa via!!! A parte tutto, evita di citare hosting a pagamento nel forum di Joomla, nè tantomeno prodotti commerciali, grazie.

[gippy88]

le prime cartelle da controllare sono quelle che contengono immagini.
al loro interno molto probabilmente ci saranno file chiamati gifimg.php, eliminali.
poi gli index.html, e per questo ti dire che ti conviene ricaricare le cartelel vergini di joomla, senza installation e senza configuration ovviamente.

per quanto riguarda i componenti poi provare anche con quelli a ricarli via ftp (cioè prendi il contenuto del file .zip e lo carichi manualmente, cosi che se è infettato lo ripristini).

dopo di che
cancella l'utente administrator senn l'hai gia fatto
usa jsecure
dai un occhiata al tuo file .htaccess
fai backup con joomlapack
controlla i permessi 755 per le cartelle 664 per i file
tiene sempre aggiornat joomla e i componenti (controlla che i componenti non siano nella lista di quelli nn attendibili e cmq usa quelli indispensabili)
cambia l'intestaz delle tabelle database
cambia pass del ftp e dei database
 con questi passaggi rendi joomla un pò meno vulnerabile.

ovviamente verifica che il tuo pc nn sia infognato, linux e il the best per questi lavori.

buon lavoro e buona fortuna

[ilenia]

è l'hosting che non è sicuro... scappa via!!! A parte tutto, evita di citare hosting a pagamento nel forum di Joomla, nè tantomeno prodotti commerciali, grazie.

Non ho citato nessun prodotto commerciale, sono tutti gratuiti.
Ho provveduto anche a rimuovere l'hosting, non sapevo che non si potesse citare.
e comunque ritengo che per dire: scappa via dovresti almeno dare delle motivazioni; una critica così a prescindere da tutto non è molto intelligente.

Posso anche aggiungere che con l'hosting citato mi sono sempre trovata molto bene, sia a livello assistenza che disponibilità.

p.s. Ringrazio tutti gli altri per avermi dato risposte utili, mi metto subito al lavoro.
GRAZIE

[56francesco]

ilenia senza polemiche

l'hosting vorrebbe il dettaglio di quanto accaduto ed inoltre vorrei poter capire come fare in modo che non venga attaccato nuovamente fra 10 giorni.

ora tu sarai certamente moltissimo espertissima e molto professionale ma imho ad un utente joomla che può non sapere niente di informatica un hosting non può chiedere quelle notizie, al contrario dovrebbe essere l'assistenza tecnica a supportare l'utente joomla e quindi fornire precisi dettagli potendo leggere i log nel server
Del resto il sito è molto semplice, il classico sito vetrina e non presenta niente di complicato o pericoloso, che so? accessi per utenti e servizi esterni..

questa è la mia piccolissima opinione..

oltre ai consigli ricevuti sopra e agli articolo da leggere, sottolineo: cambia sempre (ad ogni piccolo sospetto) tutte le credenziali di accesso, ftp e database  oltre a quelle al pannello amministrativo ovviamente.

Buona fortuna.

[ilenia]

ora tu sarai certamente moltissimo espertissima

Se lo fossi non sarei certo qui a chiedere consigli 
anzi se lo fossi probabilmente il sito non sarebbe nemmeno stato attaccato! 

Comunque per quanto riguarda gli hosting non so se dovrebbero o meno per contratto, fornire assistenza ai siti attaccati; in ogni caso ti ringrazio anche del tuo utilissimo consiglio.

 

[jeckodevelopment]

Se ho parlato cara Ilenia, l'ho fatto per esperienza, altrimenti non mi sarei mai permesso.
L'assistenza abbastanza disponibile, questo è vero, è il titolare in persona se non erro, tuttavia alla domanda: "Che ne pensa riguardo all'utilizzo di un CMS, per esempio Joomla?", mi rispose che non conviene assolutamente, che avrei esposto anche i suoi server ad attacchi e cose del genere.
Tra l'altro, i prezzi non sono eccessivamente convenienti rispetto alla concorrenza ed i servizi offerti non sono eccellenti.
Ripeto, se ho parlato è per esperienza, e soprattutto dopo un defacement subito a causa di una scarsa protezione dei loro server.

[ilenia]

Se ho parlato cara Ilenia, l'ho fatto per esperienza, altrimenti non mi sarei mai permesso.
L'assistenza abbastanza disponibile, questo è vero, è il titolare in persona se non erro, tuttavia alla domanda: "Che ne pensa riguardo all'utilizzo di un CMS, per esempio Joomla?", mi rispose che non conviene assolutamente, che avrei esposto anche i suoi server ad attacchi e cose del genere.
Tra l'altro, i prezzi non sono eccessivamente convenienti rispetto alla concorrenza ed i servizi offerti non sono eccellenti.
Ripeto, se ho parlato è per esperienza, e soprattutto dopo un defacement subito a causa di una scarsa protezione dei loro server.

con le motivazioni accetto di più la tua risposta. comunque io, dal basso della mia esperienza, posso solo dire che ho tanto da imparare e per ora penso che, rendere joomla più sicuro se è possibile, è una cosa che va fatta, e che farò dopo aver letto bene i vostri consigli.
Grazie a tutti

[jeckodevelopment]

Senza dubbio la sicurezza di ogni installazione di Joomla dipende anche dal modo con cui è configurato, seguire gli aggiornamenti e gli accorgimenti sulla sicurezza di cui parlava prima MarcoJ, ma anche gippy88, aiuteranno a rendere il tuo Joomla meno vulnerabile. Tra l'altro esistono anche delle liste con le estensioni meno sicure, quindi da evitare.
Fatto tutto ciò si può essere un po' più tranquilli, comunque sia la sicurezza del server può essere anche d'aiuto

[56francesco]

anzi se lo fossi probabilmente il sito non sarebbe nemmeno stato attaccato!

come fai a sapere che è stato attaccato e di che tipo sarebbe l'attacco?
ho provato a fare una ricerca con post.php e non risulta essere un indizio di niente di pericoloso di solito non è così.

puoi reinserire (modificato era inserire) un link al sito?

[ilenia]

Ti ho mandato un messaggio privato.

[mau_develop]

joomla 1.5.15 non ha vulnerabilità a così alto rischio note.

O hai sbagliato qualche permesso o hai installato qualcosa di poco sicuro, altrimenti è impossibile che siano passati dal sito.

Dici che è la seconda volta, probabilmente dopo la prima non hai controllato bene tutti i files e il db e te lo sei portato dietro.

Come hanno fatto è molto semplice, ti spulci i log se il tuo hoster te li mette a disposizione, altrimenti cambia hoster.

Ho sentito parlare di bof e di tutto e di più... come fai ad attaccare un sito con un bof? Chi lo sa me lo può spiegare,... mai sentita sta cosa.

Un'altra possibilità è l'autopwn, cioè ti sei "bucata" da sola cliccando su qualche cosa in giro mentre avevi la sessione admin aperta.

Ultima possibilità, e anche la più probabile è che siano passati dal server.

Poco tempo fa con un'amico di Roma abbiamo portato avanti una ricerchina su tutti sti pseudo provider esistenti in giro che offrono soluzioni economiche a scapito di sicurezza.
Il risultato è stato che per la metà degli hosting avevdo uno spazio su un server, eri admin anche degli altri siti hostati su quel server,... ma se glielo dici minacciano di denunciarti e sostengono che non è vero, provare per credere: una bella shell sul vostro sito e provare se hanno escapato il system, altrimenti... buon divertimento!

M.

[ilenia]

La prima volta ci stà che abbia installato qualcosa di poco sicuro, la seconda volta però ho installato solo joomla, template, phoca gallery e JCE e non mi pare di aver trovato in giro notizie che risultino poco sicuri questi componenti.
per quanto riguarda i files, non ho ripristinato l'ftp, ho rinstallato da zero, quindi c'è poco da controllare. tutto da zero, ex novo.
il db ovviamente me lo sono portato dietro, altrimenti avrei dovuto riscrivere ogni cosa, ho provveduto ad eliminare dal db le tabelle che facevano riferimenti a componenti che non ho rinstallato (tipo virtuemart, joomfish), ma non ho chiaro se la vulnerabilità può derivare dal database. (può?)
c'è da dire, mea culpa, di non aver cambiato la password dell'utente database tra la prima volta e la seconda. adesso ovviamente le ho cambiate.
il log ce l'ho a disposizione, il bof non so nemmeno cosa sia, scusa ma non sono così esperta.

[56francesco]

ragazzi.. vorrei ripetere un concetto che imho ha carattere generale:

l'hosting non può chiedere informazioni di quel tipo ad un utente joomla ed aggiungo: sopratutto quando questo utilizza un hosting condiviso..

quindi non sentitevi mai intimoriti da quel genere di domande, almeno per due motivi:

a- l'hosting deve sapere che joomla è progettato per utenti che possono non sapere niente di informatica  (ma che per quantità li fanno campare)

b- non potreste mai rispondere perchè  tecnicamente non avete accesso agli strumenti per poter sapere chi e perchè e per come..  l'accesso a quegli strumenti, in un server condiviso,  lo ha solo l'assistenza hosting..

e se non fosse vera questa mia opinione allora  chiunque potrà smentirmi qui nel forum, e nel caso chiederò pure scusa.
 

[frascan]

Leggo solo ora questo topic è non posso che restare stupefatto dalla richiesta del fornitore dell'hosting.
Loro hanno tutti gli strumenti per verificare che cosa sia successo e chiedono all'utente di dirgli cosa è successo?

O negli ultimi giorni ci sono stati cambiamenti radicali nel mondo dell'hosting o questa richiesta è quanto meno singolare ed insolita per non dire di più.

Il mio consiglio è di chiedere con insistenza che siano loro a verificare cosa sia successo.

[mau_develop]

per mia esperienza, gli hoster che non hanno nulla da dirti è perchè non saprebbero che dirti.
Purtroppo i servizi seri si pagano "seriamente".

poi venendo a ilenia, se hai i log (del server non di joomla) dovresti vedere chiaramente cosa è successo.
-----------------
se la vulnerabilità può derivare dal database. (può?)
-------------------
eccome no, il codice lo puoi scrivere dappertutto, database, header immagini,... comunque se dici che hai reinstallato tutto, è improbabile che sia tua la responsabilità.

Sai cos'è una shell? tipo la r57?
se si, potresti provare ad usarla sul tuo spazio (attenzione a fare velocemente e rimuovere il files subito dopo) se riesci a passare da una "root" all'altra non sei tu che hai problemi.
Oppure potresti vedere da un php.ini del tuo server se il safe-mode è off... ci sono vari pareri su questo parametro, per quanto mi riguarda per ora deve essere on e basta, almeno su hosting condivisi.

M.