Back to top

Autore Topic: Attacchi hacker - Istruzioni per l'uso  (Letto 28661 volte)

mau_develop

  • Visitatore
Attacchi hacker - Istruzioni per l'uso
« il: 04 Gen 2010, 09:01:25 »
Come era prevedibile, vista l'importanza della vulnerabilità, coincidente con un periodo di nullo impegno lavorativo, i disastri aumentano geometricamente.
Visto anche che la domanda è sempre la stessa: "Cosa faccio?", cerco di fare quello che sicuramente è già stato fatto mille volte ma che purtroppo nessuno legge.
Partiamo dal problema hosting, quindi:

se avete installato joomla 1.5.15 (ultima), senza aver installato extensions prese chissà dove, il problema è quasi sicuramente del server quindi dell'hoster, e su server dove sono presenti più siti (no dedicati o housing)

1) Scaricare in locale solo ciò che è vostro, non appartenente a Joomla, css, immagini e template.
Questo vale sia per i files che per il db MySql (ovviamente il db va backuppato tutto).
Non usate backup automatici che potrebbero già contenere manomissioni a meno che non siate più che certi che sia di un periodo antecedente l'attacco.

1-a) Se avete accesso FTP o Sql nessun problema
1-b) Se non riuscite perchè vi hanno cambiato user e pw, chiedete assistenza all'hoster che ve le cambierà, dopodichè procedete. Assicuratevi che il vostro hoster sia a conoscenza del problema, semmai includete nella mail che gli inviate anche il link alla disclosure:http://securityreason.com/achievement_exploitalert/14, e che risolva il problema, altrimenti cambiate hosting.

2) Cancellate tutti i files sul vostro spazio e mettete un bell'html "lavori in corso". Svuotate anche il db.

3) Ora dipende dalle vostre capacità.

3-a) Neofiti
Scaricate una nuova installazione Joomla e procedete, usate gli stessi parametri della precedente installazione tranne la pw ovviamente.
Cercate nei files di vostra proprietà, scaricati precedentemente, cose che non vi appartengano, es. file php nelle cartelle immagini, files dai nomi strani (joomla è abbastanza standard nei nomi), script all'interno dei files dei templates.
Se siete sicuri che non ci sia nulla sostituite le cartelle del template con le vostre e rimettete sotto la stessa path le varie immagini etc.
Magari provate in locale se non siete sicuri, eventuali script creano comunque evidenti malfunzionamenti.
Riuppate anche il db.
ATTENZIONE: nel db sono contenuti i dati di accesso precedenti!
Dovrete per cui resettare la pw seguendo le mille guide che si trovano in rete, e poi reimpostarla.

3-b)Esperti
Beh ... credo non ci sia bisogno di dire nulla, scegliete voi cosa e come controllare, ma fatelo.

PER IMPOSTARE UNA PASSWORD di admin sicura fate così:
- scelgo -> pippo
- vado su un tool md5 online o uso un mio script e inserisco pippo (ne prendo uno a caso http://md5-hash-online.waraxe.us/)
- il risultato sarà 0c88028bf3aa6a6a143ed846f2be1ea4, ben più complesso di pippo.

l'md5 di pippo darà sempre quella stringa, non è per cui necessario ricordarsela.
Scegliete comunque di criptare nomi complessi, con caratteri speciali, altrimenti attaccando con un vocabolario di stringhe in md5 è comunque semplice arrivarci.


Nel caso di attacchi che non dipendono dall'hosting
La procedura rimane quella sopra citata, ovviamente ci sarà da scoprire il perchè, quindi:

- Se avete l'ultima release controllate che non ci siano vulnerabilità note su joomla, controllate sui siti degli sviluppatori di eventuali extensions che non ci siano vulnerabilità note.

- EXTENSIONS - Gli aggiornamenti di Joomla non aggiornano le extensions installate, che sono le più colpite, lo sviluppo e l'aggiornamento delle stesse è SOLO e UNICAMENTE responsabilità vostra.

Se avete versioni precedenti di joomla.... spiegatemi il perche.. ;)

se mi vengono in mente altre cose, aggiornamenti etc... le aggiungerò con degli edit.
Sono le 7 di mattina, per cui se trovate castronerie perdonatemi!

Maurizio


Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #1 il: 04 Gen 2010, 09:24:39 »
mau...
un favore a me personale, evitiamo di creare psicosi o di avviare campagne preventive per salvare il mondo dal male..
anche perchè poi c'è il rischio che ai tuoi post si aggiungono messaggi di altri utenti che hanno altre intenzioni molto più concrete e molto meno ideali...

sempre imho limitiamoci come sempre a rispondere ai problemi specifici postati dagli utenti e per problemi specifici di server rimandiamo gli utenti alle loro assistenze hosting..

così mi eviti di discutere con gli altri moderatori ed amministratori del forum di sta cosa qua...
grazie...

ps
aggiungo che chiunque voglia può presentare articoli da pubblicare nel sito oppure segnalare estensioni nella sezione Estensioni D.O.C.  "sicure" rispetto non alle proprie opinioni o impressioni del momento ma a precisi standard verificabili..

grazie della comprensione.
« Ultima modifica: 04 Gen 2010, 09:36:54 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #2 il: 04 Gen 2010, 10:14:23 »
che beffa mi sento male..male..male...mi trovo nelle condizioni di tanti altri che sono stati attaccati da un hacker il 31 dicembre....non facevo copie di backup perchè al dire il vero sono fesso, oggi,mi fidavo troppo, del provider, tanto le copie sono nel server.Oggi che so cosa vuol dire un attacco hacker...Ha imbastardato tutto, data base sito,  c-pannel ecc... senza che io ne avessi colpa...ed ad oggi il provider non mi ha dato una risposta valida, ha detto solo cambia l'index, mi viene da piangere, a sentir dire che sono stato attaccato solo io ma è tutto il server ko, e poi questi mi dicono cambia l'index...ho una rabbia, cmq questo mi servirà per lezione...voglio proprio vedere quando mi daranno tutte le nuove password e metteranno a posto il tutto, perchè sencondo me o fanno finta o ci fanno questi del supporto tecnico..scusate lo sfogo....francesco scusami se mi sono sfogato....ma non la facevo +....

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #3 il: 04 Gen 2010, 11:21:47 »
gregorio09 hai un link al tuo sito?

(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #4 il: 04 Gen 2010, 11:55:07 »
gregorio09 hai un link al tuo sito?
per ovvi motivi, in privato,per chi vuole, gli posto il link del sito, come ho fatto con francesco..ma tanto c'è poco da vedere... se mi dite come fare vi metto l'immagine di quello che appariva nel mio sito....cmq l'hacker ha modificato tutti gli index...entrando attraverso un sito,che era prensente in quel server,  questo servizio lo fatto con tutti i siti in quel server .... a questo punto la mia domanda a gli esperti è ovvia, io avevo la versione 1.5.14 di joomla, ma il punto è questo se in un server tutti hanno le loro versioni aggiornate dei propri cms , se ce ne uno che ha delle falle,  da li entra l'hacker, cosa posso fare io? a questo punto mi viene da dire che la sicurezza non dipende + dal cms che si utilizza, ma dall'hosting provider che a sicurezza, non dire altro, che è a zero, perchè è assurdo che si verifica una cosa così.... ditemi voi se sbaglio....
« Ultima modifica: 04 Gen 2010, 12:00:48 da gregorio09 »

Offline t3cnoSite

  • Esploratore
  • **
  • Post: 98
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #5 il: 04 Gen 2010, 12:06:46 »
Mi sa tu non puoi fare proprio nulla. Diciamo che la sicurezza poi è dovuta sia al server sia a joomla. Anche se la tua versione era a posto, non era però a posto nei confronti di attacchi propagati da versioni precedenti.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #6 il: 04 Gen 2010, 12:08:28 »
Citazione
perchè è assurdo che si verifica una cosa così...
non è tanto assurdo..
come ti ho risposto ci sono ampi margini perchè tra poco tutto torni a posto perchè di sicuro i tecnici ci staranno lavorando..  (si spera)

psicosi della sicurezza a parte (o sindrome fate voi) non c'è mai un server o un cms del tutto sicuro  anche perchè c'è sempre da qualche parte del mondo magari un ragazzetto particolarmente predisposto che magari gioca con il pc e il software del padre che lavora alla nasa ecc.. ecc...

per i siti "seri" vorrei ricordare che già disporre e seguire le disposizioni del proprio normalissimo DPS previsto dal codice privacy (obbligatorio in certi casi)  mette chiunque al sicuro da questo tipi di rischi...

(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #7 il: 04 Gen 2010, 12:22:25 »
ok fracesco, perfetto capisco che bisogna usare il dps, , infatti se avevo una copia di backup del sito utile al giorno prima o nei due tre giornii prima, non mi disperavo, posso anche capire che il provider metterà le cose a posto, (qui si spera) poi vi farò il resoconto. Quindi la risposta alla mia domanda resta un po' banale o meglio, non ci sono hosting provider  + sicuri degli altri, sono tutti allo stesso livello di sicurezza. Oggi io so cosa vuol dire un attacco hacker, se io un domani dovro scegliere un provider è mi baserò anche sulla sicurezza, che avevo sottovaluto oggi, è indifferente allora scegliere uno o altro hosting. Tanto ci sarà sempre qualcuno che potra entrare nei loro server?

vero!!!!
« Ultima modifica: 04 Gen 2010, 12:24:31 da 56francesco »

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #8 il: 04 Gen 2010, 12:38:06 »
Citazione
Tanto ci sarà sempre qualcuno che potra entrare nei loro server?
la rete questo è, del resto per far vedere il sito devi lasciare che qualcuno ci entri e che i tuoi dati entrino nei pc di tutto il mondo..
in che misura questo interscambio avviene è sempre molto empirico, cioè qualsiasi limite agli accessi funziona bene ma solo fino a prova contraria..
 ;)
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

mau_develop

  • Visitatore
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #9 il: 04 Gen 2010, 13:11:59 »
no,... aspe'... il tuo mi sembra un po' uno psicodramma :)

Vero che non esiste un codice sicuro, ma in mezzo ci sono tanti però...

Ad esempio, anche se viene trovata una vuln su Joomla, resta comunque un cms "sicuro", è scritto in maniera molto accurata ed è difficile inacappare in problemi con il suo core.
Altra cosa per ciò che si aggiunge.
E' gratuito ma almeno la fatica di aggiornarlo... ci sono pure servizi di mail in caso di scoperte di "problemi".
Lo dici tu stesso, hai la .14, con vulnerabilità note.
Siccome c'è differenza tra passione e delinquenza, a me piace cercare buchi sulla .15, i delinquenti si accontentano di riuscire subito a mettere il loro avatar dopo aver cercato versioni deprecate.
Praticamente ... cerca di rendere il "mestiere" più difficile, non è inutile.

Per quanto riguarda i server il discorso è un'altro.
Spesso ci si accontenta di hosting da 20 euri l'anno, cosa vuoi pretendere?
Però ci sono comunque hosting e hosting; alcuni sono più solerti e arrivano subito con del personale competente a patchare la falla, dopo che un paio di utenti li avvisano del problema.
Altri, "a conduzione familiare" si trovano in braghe di tela e non sanno che fare finchè non esce una patch ufficiale; oppure sono in ferie e poco gli importa del tuo sitarello.

Ci sono anche Hosting seri ed economici e non è vero che il mondo è così precario.

M.

Ps. Francesco, ti ho mandato un pvt, magari giralo anche a quelli che nella risposta mi dici la pensano come te.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #10 il: 04 Gen 2010, 14:27:03 »
perchè la 1.5.14 aveva un buco di sicurezze che è stato risolto dalla 1.5.15 ? (a parte quello del file  htaccess) questo mi ha causato l'attacco hacker? o l'attacco hacker è arrivato perchè il malintezionati sono entrati nel server e poi da li avendo a disposzione tutto, hanno fatto quello che volevano su di me e tutti gli altri?
potresti dire che qualcuno aveva una versione vecchissima di joomla e da li sono entrati, e poi hanno bucato il server, (ma sta cosa che bucano i server, perchè qualcuno ha una versione non aggiornata di joomla e ci vanno di mezzo gli altri, non la vedo giusta) ma non dal mio sito.....
« Ultima modifica: 04 Gen 2010, 14:29:25 da 56francesco »

Offline fra84x

  • Nuovo arrivato
  • *
  • Post: 2
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #11 il: 04 Gen 2010, 14:28:54 »
ehehe ragazzi il proprietario del dominio freebookhotel.com sono io... :( e ora non è più visibile…che palle sti lamer! Mi sa che però non avevo l'ultima versione di joomla, perchè avevo uno script installato che non girava sull'ultima versione

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #12 il: 04 Gen 2010, 14:37:14 »
dicci almeno quale versione avevi o quando lo hai installato per risalire alla versione di joomla...
« Ultima modifica: 04 Gen 2010, 16:08:27 da 56francesco »

Offline fra84x

  • Nuovo arrivato
  • *
  • Post: 2
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #13 il: 04 Gen 2010, 14:39:25 »

farò un backup e poi vi dico certamente che versione avevo ;)
« Ultima modifica: 04 Gen 2010, 16:08:12 da 56francesco »

Offline Conanbarbaro

  • Appassionato
  • ***
  • Post: 417
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #14 il: 04 Gen 2010, 16:50:12 »
Scusate: ma in casi come questo, potrebbe essere utile anche segnalare il nome dell'Hosting "bucato" oppure non si puo' fare?  :o

Penso che, anche chi non è stato avvisato, in questo modo potrebbe subito verificare se la cosa ha toccato anche lui o meno...no?  ::)
Chi si estranea dalla lotta...

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #15 il: 04 Gen 2010, 17:14:10 »
volevo sapere solo alcuni accorgimenti.... sto cambiando le password... ho trovato una versione un po' vecchiotta di backup ma cmq recuper + del 50% del sito..che devo fare , non posso fare altro..a questo punto volevo sapere...

1)Lascio il data base com'è?  o cancello tutto e inserisco il backup del database vecchio ?

2)per quanto riguardo la nuova istallazione cosa faccio?
installo la versione 1.5.14 ex novo, poi sovrascrivo con il il backup sulla versione che installo,  senza sovrascrivere il configuration.php ...
dopo dichè se tutto è ok scarico dal vostro sito la nuova versione quella che mi permette di passare dalla 1.5.14 alla 1.5.15 ?

o uso altra strada?
ditemi voi...
grazie

mau_develop

  • Visitatore
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #16 il: 04 Gen 2010, 17:21:33 »
scusa, ma che l'ho scritto a fare questo post?
Segui ciò che c'è scritto in alto

@Conanbarbaro: no, non credo sia una buona idea poichè rischi solo di creare danni economici.
Anche gli hoster, in fondo, non ne hanno colpa, semmai responsabilità; è uno scherzo che php fa a se stesso :)
Tutto è pubblico per cui non ci vorrà molto a giungere a soluzione.

M.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #17 il: 04 Gen 2010, 17:26:24 »
non ho il locale e poi non ho capito che hai scritto...

Offline frascan

  • Global Moderator
  • Instancabile
  • ********
  • Post: 4996
  • Sesso: Maschio
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #18 il: 04 Gen 2010, 17:29:09 »
Come al solito si genera una gran confusione e si rischia di fare solo ulteriori danni.

Ripristinare un backup è cosa diversa e nulla ha a che vedere con la procedura di installazione.

Per quanto riguarda il backup prova a chiedere al tuo fornitore di hosting se ne ha uno recente (magari aggiornato al giorno prima dell'attacco). Sia chiaro che dipende dal tipo di contratto che hai sottoscritto con loro se sono tenuti a dartelo oppure no qualora lo avessero.

Dopodichè segui questa guida per il ripristino del sito:

http://wiki.joomla.it/index.php?title=Trasferimento_siti_web_Joomla_da_locale_a_remoto_e_viceversa

Lo so che non è dedicata al ripristino ma tra trasferimento e ripristino la sostanza delle cose non cambia una volta capita la procedura che sta alla base.
Per la natura stessa delle cose un esploratore non può mai sapere che cosa stia esplorando finché l’esplorazione non sia stata compiuta.

Offline gregorio09

  • Nuovo arrivato
  • *
  • Post: 35
    • Mostra profilo
Re:Attacchi hacker - Istruzioni per l'uso
« Risposta #19 il: 04 Gen 2010, 17:42:29 »
FORSE NON MI SONO SPEGATO BENE.... NON HO MAI LAVORATO IN LOCALE....SE MI DAI QUELLA GUIDA MI FA SOLO CONFUSIONE...NON PER NULLA...ADESSO NON HO LA TESTA PER IMPARARE A LAVORARE IN LOCALE.. QUANDO SONO + CALMO VEDO...OK... NON ERA + FACILE RISPONDERE ALLE MIE DOMANDE...CMQ SE NON AVETE TEMPO NON IMPORTA...GRAZIE LO STESSO...

 



Web Design Bolzano Kreatif