Come era prevedibile, vista l'importanza della vulnerabilità, coincidente con un periodo di nullo impegno lavorativo, i disastri aumentano geometricamente.
Visto anche che la domanda è sempre la stessa: "Cosa faccio?", cerco di fare quello che sicuramente è già stato fatto mille volte ma che purtroppo nessuno legge.
Partiamo dal problema hosting, quindi:
se avete installato joomla 1.5.15 (ultima), senza aver installato extensions prese chissà dove, il problema è quasi sicuramente del server quindi dell'hoster, e su server dove sono presenti più siti (no dedicati o housing)
1) Scaricare in locale solo ciò che è vostro, non appartenente a Joomla, css, immagini e template.
Questo vale sia per i files che per il db MySql (ovviamente il db va backuppato tutto).
Non usate backup automatici che potrebbero già contenere manomissioni a meno che non siate più che certi che sia di un periodo antecedente l'attacco.
1-a) Se avete accesso FTP o Sql nessun problema
1-b) Se non riuscite perchè vi hanno cambiato user e pw, chiedete assistenza all'hoster che ve le cambierà, dopodichè procedete. Assicuratevi che il vostro hoster sia a conoscenza del problema, semmai includete nella mail che gli inviate anche il link alla disclosure:http://securityreason.com/achievement_exploitalert/14, e che risolva il problema, altrimenti cambiate hosting.
2) Cancellate tutti i files sul vostro spazio e mettete un bell'html "lavori in corso". Svuotate anche il db.
3) Ora dipende dalle vostre capacità.
3-a) Neofiti
Scaricate una nuova installazione Joomla e procedete, usate gli stessi parametri della precedente installazione tranne la pw ovviamente.
Cercate nei files di vostra proprietà, scaricati precedentemente, cose che non vi appartengano, es. file php nelle cartelle immagini, files dai nomi strani (joomla è abbastanza standard nei nomi), script all'interno dei files dei templates.
Se siete sicuri che non ci sia nulla sostituite le cartelle del template con le vostre e rimettete sotto la stessa path le varie immagini etc.
Magari provate in locale se non siete sicuri, eventuali script creano comunque evidenti malfunzionamenti.
Riuppate anche il db.
ATTENZIONE: nel db sono contenuti i dati di accesso precedenti!
Dovrete per cui resettare la pw seguendo le mille guide che si trovano in rete, e poi reimpostarla.
3-b)Esperti
Beh ... credo non ci sia bisogno di dire nulla, scegliete voi cosa e come controllare, ma fatelo.
PER IMPOSTARE UNA PASSWORD di admin sicura fate così:
- scelgo -> pippo
- vado su un tool md5 online o uso un mio script e inserisco pippo (ne prendo uno a caso
http://md5-hash-online.waraxe.us/)
- il risultato sarà 0c88028bf3aa6a6a143ed846f2be1ea4, ben più complesso di pippo.
l'md5 di pippo darà sempre quella stringa, non è per cui necessario ricordarsela.
Scegliete comunque di criptare nomi complessi, con caratteri speciali, altrimenti attaccando con un vocabolario di stringhe in md5 è comunque semplice arrivarci.
Nel caso di attacchi che non dipendono dall'hosting
La procedura rimane quella sopra citata, ovviamente ci sarà da scoprire il perchè, quindi:
- Se avete l'ultima release controllate che non ci siano vulnerabilità note su joomla, controllate sui siti degli sviluppatori di eventuali extensions che non ci siano vulnerabilità note.
- EXTENSIONS - Gli aggiornamenti di Joomla non aggiornano le extensions installate, che sono le più colpite, lo sviluppo e l'aggiornamento delle stesse è SOLO e UNICAMENTE responsabilità vostra.
Se avete versioni precedenti di joomla.... spiegatemi il perche..
se mi vengono in mente altre cose, aggiornamenti etc... le aggiungerò con degli edit.
Sono le 7 di mattina, per cui se trovate castronerie perdonatemi!
Maurizio
