Attacchi hacker - Istruzioni per l'uso

[Conanbarbaro]

No per sicurezza visto che sei all'inizio tu fai il backup di tutto via ftp.
Quando prenderai più dimestichezza con la struttura di files e cartelle di joomla allora potrai fare un backup selettivo perchè saprai esattamente cosa è stato modificato e cosa no.

Ti faccio un esempio concreto: se carichi nuove immagini attraverso Gestione Media per poterle inserire in degli articoli allora quelle immagini vengono salvate nella cartella images/stories per dirne una a caso e non nella cartella images del template che stai usando.

Eh ma allora è proprio quello che cercavo di fare oggi, solo che come ho segnalato, dopo u po' durante il trasferimento FileZilla restituiva il messaggio di errore Tempo di timeout trasferimento fallito...e me lo dava anche trasferendo una cartella alla volta...la vedo dura....

[sudoku]

@mau_develop

Immagina una sqlinj dove riesco ad esploitare la pw admin, vedrò printato da qualche parte l'md5 della pw.

Lo metto in un cracker e 80/100 nel giro di una giornata ho la pw in chiaro da inserire nel pannello di admin.

Ma se io inserisco invece di pippo il suo md5, quando esploito, ottengo l'md5 di un md5, mettilo dove vuoi ma è infinitamente più difficile.

Mica ti ho capito sai? Sarà sicurmante una mia mancanza ma l'md5 dove vorresti infilarlo? e come fai a logarti senza ricordarlo? Mi sfugge questo...

[mau_develop]

Provo in modo più dettagliato:

user admin
pw pippo
pw memorizzata nel db 0c88028bf3aa6a6a143ed846f2be1ea4 ovvero l'md5 di pippo

Penso che tu sia d'accordo che sfruttando un injection sql io riesco a recuperare dalla tabella users admin e 0c88028bf3aa6a6a143ed846f2be1ea4

A questo punto per essere amministratore devo inserire la pw, l'utente lo so è admin

Non posso inserire l'md5 perchè joomla fa un nuovo md5 e lo confronta e quindi non è sicuramente uguale, l'unica soluzione è decriptare l'md5.

Cosa faccio? Semplice, vado quì http://md5.rednoize.com/
inserisco il mio md5 e lui mi dice pippo.

Mi loggo con admin-> pippo e sono admin.

Nel mio esempio avresti invece ottenuto l'md5 di un md5 che se lo metti in quel tool non trovi proprio nulla.

Dove la conservo? dove voglio: desktop, usb con autologin, foglietto di carta....

M.

[artenelweb]

Salve,
purtroppo vedo che non sono solo. Questa sera tutta la mia VPS con dentro circa 70 siti di cui una trentina CMS Jooma! 1.5.15 sono stati tutti hackerati con il cambio di tutti i files index.php, index1.php e.... dramma... tutti i file index.htm!!!

Il mio Provider insiste a dire che non ho i CMS aggiornati ma non è così.

Per fortuna che questa notte è stato fatto tutto il backup della VPS e quindi il Provider farà il restore di tutto compreso i database e la webmail.

Ma mi domando... non esiste una protezione lato server per evitare queste intrusioni?

[allegato vecchio più di un anno eliminato automaticamente]

[mau_develop]

No, contro questa no.

Se sai sicuro che i tuoi siti erano sicuri ( ) il provider può dire quello che vuole, esistono i log del server proprio per quello e sono obbligati a conservarli e lì non si può mentire.

Il problema esiste ancora e php non lo ha ancora fixato per cui è "mestiere" del provider evitare lo sfruttamento dei symlink; iptables, firewall, cinese che controlla pacchetto per pacchetto, facciano quello che vogliono ma il problema resta loro e da chi su quel server ha offerto il "passaggio" lasciandoci del codice vulnerabile.

M.

ps:
... dall'immagine si vede pure che è dal 16 di dicembre che sei in queste condizioni... un po' tardi per accorgersi.

Se ti/vi chiedete il perchè di questi ...chiamiamoli attacchi, è perchè son tutti ragazzini di 13/14 anni che fanno le gare a chi ne defaccia di più e poi pubblicano la classifica dei deface, mal che vada guadagnate un backlink

[gregorio09]

mau_develop ok chiamiamoli ragazzini   quindi questi possono fare ciò che vogliono,  non commettono nessun reato?

[artenelweb]

Ma come si fa a sapere qual'è il codice vulnerabile? Il Provider dice che è un problema di aggiornamenti ma allora qui mi viene il sospetto che si giochi al Ponzio Pilato e il fesso di turno è quello che paga.

Come dici è dal 16 dicembre ecc.... ma solo ieri sera ha fatto un casino della miseria! Come faccio io a sapere che un hacker si sta preparando a un attacco in grande stile (tieni presente che è stato infettato tutto il server e non solo la mia VPS).

[56francesco]

Ma come si fa a sapere qual'è il codice vulnerabile?

è come la pioggia, si sa che prima o poi accade, che poi sia acida o no, a tamburello o acquazzone, temporale o scroscio non importa.
quindi si prevede e si prendono precauzioni ovvero si fa il backup e lo si archivia in una macchina diversa da dove sta l'archivio e magari anche in un cd-rom o dvd  che a sua volta si archivia in luogo sicuro.

[artenelweb]

Difatti è così che fa il provider. Effettua un backup giornaliero, settimanale e mensile in un'altra macchina.

Domando: ora tutti i files index (sia php, htm e html) sono in chmod 644. Non è possibile settarli in chmod 444 così da evitare la sovrascrittura?

[mau_develop]

ricorda che sicurezza non vuol dire rischiare di non far vedere le pagine agli utenti.

Se tu sei sicuro che il tuo cms era a posto, ovvero aggiornato all'ultima versione disponibile, senza modding, senza addons, il problema resta del provider dimostrare che è stata una tua responsabilità.
Comunque non lasciare mai alla sua sola responsabilità i backup, alla fine a torto o a ragione ci perdi sempre tu; poi lui non guarda cosa backuppa, se mettono una backdoor lui ti backuppa anche quella, se è furbo e ha un minimo di antimalware una shell dovrebbe venir bloccata.

Il fatto che siano ragazzini sicuramente non li autorizza.
Se visiti la loro board ti accorgi di che disastri hanno fatto in giro, il problema è come sempre le leggi. Sai che vuol dire fare una rogatoria per andare a spulciare sui server turchi? ..prova! Per forza che quando vai a denunciare ti ridono in faccia, non ti prendono in giro, ne sono sfaticati, sono realisti.
Se io in italia faccio qualcosa in Italia stai tranquillo che il caffè un mattino te lo porta la postale.
Sono bravi ragazzi e molto competenti, in grado di affrontare molti scenari, non sono degli sprovveduti ma ci sono cose che anche loro non riescono a scavalcare, le regole.

Un turco potrebbe attaccare permettendosi di usare il suo ip, infatti quella board ha dietro un proprietario, i dati sono pubblici, potresti pure telefonargli. Chi ha fatto quell'attacco ha un nick, è sicuramente conosciuto. Credo che in un paio d'ore chiunque sia in grado di rintracciarlo.... ma non te ne fai nulla, e lui lo sa. Se lo fa a casa sua gli tagliano le manine.

L'hacker italiano predilige i proxi, soprattutto la facilità di tor e privoxy, attraverso il quale i tuoi pacchetti vengono instradati per mezzomondo (quelle scemenze che vedi nei film) e ognuno che li riceve non traccia chi glieli invia,... quasi impossibile, a meno di unhide al primo nodo con un po' di js.

...capito perchè restano impuniti?

PS: se fai qualche ricerca su google trovi interessantissime letture sui server russi, il top per la m_a_f_i_a, e vengono spiegati tutti i perchè.

[gregorio09]

mau_develop
ok
allora da come mi spieghi mancano delle regole internazionali...se in italia funzionano le regole, invece neglia altri stati no, allora la cosa è seria.... anzi triste... perchè così in questi paradisi fiscali, ognuno può fare ciò che vuole nella rete, tanto poi non viene punito,  hanno pure il sito, fanno pure a gare nei loro forum alla visione di tutti..... di questo sono molto rammaricato.... poi l'altra cosa che mi rammarica e il fatto che gli hostin provider dopo un attacco di questo tipi non fanno le denunce, almeno per dire alle autorità italine vedi che qui bisogna prendere provvedimenti, anche se è la turch...., ma qualcosa bisogna fare, pi non penso che la polizia postale non indagherebbe, io penso che contattterebbe le autorità turch. ...o no.... cmq ci servono le regole anche a livello internazionale... altrimenti la criminalità in questo campo aumenterà...  ok mau ti saluto un piacere parlare con te.. alla prx...
mi ero dimenticato di dirti, una piccola parentesi, ma avere il cms in legacy mode porta ad avere un cms come joomla non sicuro? o è tutto tranquillo?

[t3cnoSite]

Se la criminalità informatica aumenterà, aumenterà anche la sicurezza!!!
Quello che mi sento di dire, è che la sicurezza informatica è ancora qualcosa di incerto; il miglior modo sono i backup...a meno che non facciate operazioni finanziarie col vostro sito, dopo qualsiasi attacco tempo 15min e potete riuplodare il sito e il db.
Io studio informatica, e sapessi quanto mi piacerebbe fare l'hacker, e per farlo vuoi che qualche sitarello non lo butti giu?

[mau_develop]

non ridurre essere hacker -> buttar giù qualche sitarello.

Non è una disciplina, non si studia, è un'indole che appartiene ad alcuni informatici, la stessa che da piccolo non ti permetteva di avere un gioco intero più di 5 minuti, il tempo necessario a trovare un cacciavite.

Se tu sapessi scrivere joomla probabilmente lo sapresti anche "buttar giù" come tu dici.
Non confondere i ragazzini mascherati con quello che invece è una passione, non distruttiva per l'informatica.

Il fatto di trovare bug è dovuto solamente ad un desiderio di saperne di più... : es. "ma come fa joomla a filtrare le variabili?"... curioso, inizia ad aprire file, classi, metodi e capisci, e ti accorgi magari dove tu avresti fatto diversamente, e ti dici ancora più curioso: "..ma sono due modi o uno è sbagliato?" .... e provi...

La voglia di buttar giù, spiare, grabbare fa parte di un mondo criminale, nulla a che fare con hacker e informatica, solo "bullismo virtuale", dietro veri e propri nerd che pensano di non aver nulla per cui essere apprezzati nella realtà.
..tutto imho.

M.