Autore Topic: Il mio sito è stato attaccato!!! (Letto 9643 volte)

armal67 · « **il:** 02 Gen 2010, 10:17:58 »

Vi chiedo una mano, il mio sito www.armalweb.net è da ieri che si presenta con la home cambiata da hacker turchi, se ho capito bene. Il provider mi ha detto di ricaricare la index via ftp e io che ho degli altri siti fatti in joomla mi sono accorto che la index riporta le stesse diciture (scusate ma non ne so molto di siti internet) ho provato a ricaricare la index.php e la index2.php ma niente.
Ditemi se tutto il mio lavoro è andato a farsi friggere o se ho ancora qualche speranza.

grazie.

albott · « **Risposta #1 il:** 02 Gen 2010, 10:22:44 »

Da quanto vedo, il sorgente è di una pagina html, quindi nella root di joomla avranno messo una index.html e non php quindi il server la carica di default.

Se esiste prova a togliere la index.html

Fammi sapere!

albott · « **Risposta #2 il:** 02 Gen 2010, 10:24:22 »

Oppure hanno modificato l'index.php del tuo template che avevi mettendoci solo codice html. Sicuramente è una di queste due cose.

Addirittura hanno messo un index.html in ogni directory dell'ftp.

armal67 · « **Risposta #3 il:** 02 Gen 2010, 10:49:20 »

Questa è la schermata dell'ftp

come dicevo io ho cambiato la index.php e la index2.php ma il risultato non cambia
la index.php corrotta era questa:

56francesco · « **Risposta #4 il:** 02 Gen 2010, 10:51:21 »

per cortesia precisa la versione esatta di joomla che avevi installata, l'ultima è la 1.5.15

e non diffondere le cose che inseriscono nella rete, per cortesia eliminale, grazie.

ps
dimenticavo, prova a sovrascrivere il template che usavi, via ftp
e cambia tutte le credenziali di accesso, ftp e database comprese

albott · « **Risposta #5 il:** 02 Gen 2010, 10:53:03 »

guarda se i file nella root li hai sostituiti ok...adesso se hai un bckup dell' ftp ricarica la cartella templates oppure solamente l'index.php del template che usavi.
Comunque anche se vai in /administrator fa la stessa cosa, quindi o hanno modificato anche l'index.php in questa directory o hanno messo dei file index.html in tutte le directory del sito.

armal67 · « **Risposta #6 il:** 02 Gen 2010, 10:57:11 »

Ok provo a fare quello che mi avete consigliato, scusa ma non sono un molto ferrato in programmazione.

armal67 · « **Risposta #7 il:** 02 Gen 2010, 11:03:11 »

Ho trovato delle index.html nelle directory del sito, volevo spostarne una sul mio pc per vederela, via ftp, ma mi disconnette. Cosa faccio, provo a cancellarle?

56francesco · « **Risposta #8 il:** 02 Gen 2010, 11:06:40 »

hai avvisato il servizio assistenza hosting?

e la versione esatta di joomla quando ce la dici?

albott · « **Risposta #9 il:** 02 Gen 2010, 11:08:17 »

Perchè si dovrebbe disconnettere...non vedo relazioni tra connettività ftp e file, quindi non saprei.

Al limite prova ad impostare un editor di testo come visualizzatore di default di file ad esempio blocco note su win e se aprili senza effettuare il download.

Comunque te li deve scaricare e dicci che versione di joomla è!

armal67 · « **Risposta #10 il:** 02 Gen 2010, 11:22:17 »

Sono riuscito a ricaricare la index, io uso joomla 1.5.15, ora devo eliminare tutte le index.html in giro nelle root?
Si ho avvisato l'hosting.

Grazie a te Francesco e a tutti

Armando

armal67 · « **Risposta #11 il:** 02 Gen 2010, 11:26:12 »

Sono riuscito a scaricare una index.html ed è la solita che compare ogni volta che aprivo il sito prima. Le posso cancellare tranquillamente?

albott · « **Risposta #12 il:** 02 Gen 2010, 11:46:14 »

vedo che lo hai ritirato su...comunque acmbia password ftp e database (non si sa mai)...

anto1701 · « **Risposta #13 il:** 02 Gen 2010, 13:11:17 »

è capitato anche a me... è un tipo di attacco veramente infestante... ti conviene ricaricare un backup

armal67 · « **Risposta #14 il:** 02 Gen 2010, 14:16:29 »

Mi ero fermato per pranzare e ora mi ritrovo che il sito non ha più le pagine index.html che creavano il problema nelle root e non più visibile, aspettavo una risposta via email del provider...... speravo di essere sulla buona strada per sistemare tutto

albott · « **Risposta #15 il:** 02 Gen 2010, 14:21:40 »

mmm brutto segno! secondo me l'hacker ti sta controllando...oppure o te o qualcun altro ha messo mano al ai file del modulo di login....

armal67 · « **Risposta #16 il:** 02 Gen 2010, 14:33:59 »

non io, avevo solo ripristinato il template del front end. Mi sa che se continua così mi toccherà reinstallare tutto.

anto1701 · « **Risposta #17 il:** 02 Gen 2010, 15:36:52 »

Non hai un backup del sito?? non c'e' nemmeno bisogno di agire sul db.
Per completezza di informazione per il resto del forum vorrei puntualizzare che l'unico sito dei miei bucato era quello che non avevo aggiornato joomla ero fermo alla 1.5.9

mau_develop · « **Risposta #18 il:** 02 Gen 2010, 16:15:11 »

Secondo me stai facendo un casino della madonna per nulla.
Devi fare 4 cose efarle nell'ordine giusto.
Non devi tornare indietro o fare nessun pasticcio, e aspetta ad eliminare le index.html che sono quelle che proteggono la visibilità delle cartelle.

Devi, nell'ordine:

1) Scaricare, backuppando anche il db, tutto ciò che sta online.
Finito di scaricare metti una bella index.html con "lavori in corso".
Ranza via completamente tutto, sito e db.

2) prima di riuppare qualsiasi cosa contatta il tuo provider e fatti cambiare tutte le password.

3) quando hai le password uppa una nuova versione appena scaricata di joomla.
Ora dai un'occhiata a tutti i files del tuo template in locale, per essere sicuro che il codice stia li.
Dai un'occhiata anche alle cartelle contenenti immagini se ce n'è qualcuna strana o che non ti appartiene.
Riuppa i files.

4) spulciati un po' il db, soprattutto le tabelle content o che comunque hanno contenuti testuali per vedere che non ci sia del codice malevolo, dopodichè riuppa anche il db.

...dovresti essere a posto.

Se contatti il provider, fagli leggere l'articolo che ho postato proprio ieri in questa sezione, perchè mi sa che il problema è quello, e se è quello è inutile continuare a cambiare pw... è lui che deve risolverlo.

Maurizio

56francesco · « **Risposta #19 il:** 02 Gen 2010, 16:23:49 »

mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.

armal67 · « **Risposta #20 il:** 02 Gen 2010, 16:24:57 »

avevo solo eliminita la index.html che bloccava la home dopodiché ho pranzato quando sono tornato davanti al pc mi sono trovato con tutto cambiato. Ora farei quello che mi dici tu Maurizio ma ho paura di non saltarci fuori e oramai lo faccio questa sera per non interrompere a metà come oggi.

Grazie

mau_develop · « **Risposta #21 il:** 02 Gen 2010, 18:59:26 »

Citazione da: 56francesco - 02 Gen 2010, 16:23:49

mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.

...umhh, credo di sì, poichè è meglio che la gente cominci a svegliare i propri hoster, come vedi continuano a bucare anche l'ultima versione di joomla, credo che sia questo da evitare, visto che non è lei il problema.

Comunque questa notizia sta già su tutti i principali forum hacker, è da lì che parte tutto questo casino di attacchi.
Inoltre se guardi l'advisory (pubblica da 1 mese) esiste anche un bel download dell'exploit.

... non credo di essere io la causa, spererei di essere il rimedio o la causa del rimedio.

Comunque se decidete di rimuovere il post guarda che non mi offendo

Maurizio

PS: armal, se vuoi postarmi in pvt l'hosting e il sito provo a dargli un'occhiata (no le pw solo gli indirizzi)

armal67 · « **Risposta #22 il:** 03 Gen 2010, 01:43:03 »

Ora aspetto risposte dal provider, ho fatto 5 siti su di lui, per me ed amici, e 2 non funzionano e hanno un indirizzo per il pannello Omega, anche questo con la solita pagina infettata, mentre gli altri tre funzionano e hanno 3 indirizzi differenti per il pannello Omega.

56francesco · « **Risposta #23 il:** 03 Gen 2010, 11:50:48 »

Citazione

Comunque se decidete di rimuovere il post guarda che non mi offendo

ci mancherebbe pure..
ho semplicemente chiesto perchè non sapevo se erano notizie avanzate/riservate (diciamo così) o già di dominio pubblico..
avrai notato che evito anche di scrivere certi termini sostituendoli con altri ad esempio "simpaticoni" o "burloni" ecc..
i motori di ricerca li conoscono tutti ed è meglio che sia così..
sempre bene non inserire "rune" da nessuna parte..
ciao

mau_develop · « **Risposta #24 il:** 03 Gen 2010, 11:56:31 »

Allora, ho ricevuto il pvt e ho controllato il tuo sito: il problema è sempre lo stesso o simile, è l'hosting.
Tutti o quasi i siti su quel server sono stati violati.
Metto un link ad un sito su quel server che ha la tua stessa index per spiegarti:
freebookhotel.com/

è stato gentile! Ti ha lasciato anche la soluzione sull'img della shell.

Probabilmente ha bucato questo sito e da questo è partito con i link simbolici al file s.txt
Se leggi le righe + o - riesci a capire come si è spostato.
E' sicuramente un ragazzino che ha usato un fantomatico priv8.tar

... non si capisce il perchè, visto che lo scopritore della vulnerabilità ne fornisce anche l'exploit.

M.

PS ...cambia hosting!

EDIT: scusa Francesco, ci siamo scavalcati

Non mi permetterei mai di divulgare una cosa che non sia ancora stata resa pubblica.
Come ripeto, la mia intenzione è di velocizzare questo fix dei vari hoster perchè la cosa dilaga molto velocemente...

e-puglia.com · « **Risposta #25 il:** 04 Gen 2010, 02:11:49 »

Salve,
purtroppo mi sono ritrovato anche io nella stessa situazione. Stesso server di freebookhotel.com....stesse conseguenze.
Appena accorto di quanto accadeva ho avvisato l'hoster in questione con 2 mail tramite apposito spazio contatti sul sito (unico metodo di comunicazione) e ancora dopo 12 ore nessuna risposta.
Il problema nel mio caso si aggrava in quanto, forte del backup giornaliero, non avevo fatto una mia copia di backup del sito e del DB.
Il sistema di gestione del backup sovrascrive ogni giorno quello del giorno prima....e quando ho provato a cercare quello buono da uppare mi sono trovato con quello hackerato con tutti i file "index" inservibili.
Chiedo da profano lumi a riguardo, possibili soluzioni, qualche consiglio e sapere come deve comportarti con l'hoster....cosa è lecito pretendere..
Vi ringrazio anticipatemente
Un saluto a tutti

PS La versione Joomla era recentissima....scaricata non più di un 15-20 giorni

websitter · « **Risposta #26 il:** 04 Gen 2010, 08:07:19 »

Citazione da: 56francesco - 02 Gen 2010, 16:23:49

mau_develop quell'articolo ora è a disposizione anche dei simpaticoni della rete..
sei sicuro che sia una buona cosa inserirlo in un forum così seguito come questo?
imho no.

Salve il link all'articolo qual'è?
Perchè non pubblicare anche il nome dell'hoster "colpevole" oltre al codice di exploit?

56francesco · « **Risposta #27 il:** 04 Gen 2010, 09:19:07 »

websitter
cos'è stamani ti sei dimenticato le regole del forum?
non si parla di servizi commerciali, vale nel bene (a afargli pubblicità) e nel male (quando hanno problemi)

per questo motivo ho già cancellato alcuni tuoi post e per cortesia evitami una proposta agli altri moderatori per provvedimenti nei tuoi confronti, ok?

websitter · « **Risposta #28 il:** 04 Gen 2010, 09:25:40 »

Citazione da: 56francesco - 04 Gen 2010, 09:19:07

websitter
cos'è stamani ti sei dimenticato le regole del forum?
non si parla di servizi commerciali, vale nel bene (a afargli pubblicità) e nel male (quando hanno problemi)

per questo motivo ho già cancellato alcuni tuoi post e per cortesia evitami una proposta agli altri moderatori per provvedimenti nei tuoi confronti, ok?

Non ho mai fatto nomi degli hoster nei miei post, semplicemnete mi sono immedesimato in chi si sveglia con sito hackerato/defacciato per colpa di un hoster poco attento.
Ripeto non ho mai fatto nomi, se poi consigliare di cambiare hosting è un reato...

Buona giornate Francesco