Autore Topic: Ecco cosa mi ha risposto il provider (Letto 6871 volte)

armal67 · « **il:** 04 Gen 2010, 15:50:20 »

""in seguito ad un attacco hacker rivolto al server xx.xxx.xxx.xx il giorno 31/12/2009 nel tardo pomeriggio, i nostri tecnici hanno bloccato immediatamente l'hacker che è comunque riuscito a sostituire tutti i files index* e home*

Questo problema è stato creato a causa di mancati aggiornamenti a versioni di Joomla che avrebbero risolto problemi di sicurezza.
Se utilizzi Joomla ti raccomandiamo quindi di eseguire l'aggiornamento all'ultima versione stabile disponibile.

Per ripristinare il Suo sito web deve necessariamente caricare un backup precedente al 31/12/2009.

E' di estrema importanza che sostituisca le password di questi tre servizi (tramite IspCp Omega):

FTP
DATABASE
PANNELLO DI CONTROLLO IspCp Omega

La mancata sostituzione delle password potrebbe consentire a malintenzionati di accedere nel Suo spazio web e, di conseguenza, danneggiare nuovamente il Suo sito web/database.""

e alla mia risposta "che grado di sicurezza ho ora" ha risposto così:

""Per la sicurezza sono stati configurati i firewall hardware con nuovi blocchi e nuove policy, non ci sarà quindi più nessun tipo di problema.""

Sinceramente mi sento un po preso in giro dato che se non riesco a ripristinare i siti dovrò rimetterci mano, e mi sa che mi hanno liquidato con un bel "è successo cavoli tuoi!!!"

frascan · « **Risposta #1 il:** 04 Gen 2010, 15:58:09 »

Ciao.
Come prima cosa bisogna capire se l'attacco è arrivato attraverso joomla o una estensione non aggiornate oppure attraverso un attacco di altro tipo, magari al server su cui sei ospitato.
Che versione di joomla usavi e che estensioni avevi installate lo dovresti sapere tu.

Se hai omesso di fare aggiornamenti e backup la resposabilità è la tua a mio avviso.

Per quanto riguarda i servizi offerti dal fornitore di hosting stesso discorso dovresti sapere che tipo di contratto hai sottoscritto e se comprende o non comprende il servizio di backup.

Mi dispiace se sono un po duro e diretto ma è storia vecchia in informatica non tenere conto della sicurezza per tempo e pensarci quando è accaduto l'irreparabile.

sudoku · « **Risposta #2 il:** 04 Gen 2010, 16:03:57 »

Citazione

Se hai omesso di fare aggiornamenti e backup la resposabilità è la tua a mio avviso.

Per quanto riguarda i servizi offerti dal fornitore di hosting stesso discorso dovresti sapere che tipo di contratto hai sottoscritto e se comprende o non comprende il servizio di backup.

Perfettamente descritto come sempre

Wee francè era un po' che non ti leggevo

56francesco · « **Risposta #3 il:** 04 Gen 2010, 16:07:49 »

Citazione

Questo problema è stato creato a causa di mancati aggiornamenti a versioni di Joomla che avrebbero risolto problemi di sicurezza.

....
al solito.. il tecnico era uscito e ti ha risposto l'adetto amministrativo o alla sorveglianza..
dagli il tempo che rientri il tecnico e poi chiedi con fermezza che ti indichino a quali componenti o estensioni compresi di versione si riferiscono e i particolari tecnici del caso...

sono molto curioso di saperlo e credo anche tutti gli addetti che si occupano di sicurezza informatica... e magari anche il deav team stesso..

sudoku · « **Risposta #4 il:** 04 Gen 2010, 16:10:02 »

@francesco: interessante intervento come sempre: ricordo non a te ma a chi ci legge che sarebbe bene quando si installa un componente, plugin o altro di iscriversi alla newsletter (che ogni addon seria comprende) per ricevere eventuali bug fix e/o aggiornamenti del medesimo

armal67 · « **Risposta #5 il:** 04 Gen 2010, 16:33:42 »

Ciao Francesco, come dici tu mi hanno risposto dopo un po e scusa se ho aperto un altro post ma nel mio precedente non riuscivo ad aggiungere messaggi.
Ciò che mi sa strano è che non si preoccupano di togliere i file dell'hacker, hanno ripristinato il loro pannello Omega e ora mi dicono cambia le varie password (già fatto naturalmente) e ripristina un beckup. Tralasciando che se mi avessero detto per tempo "scarica il beckup di ieri" loro giornalmente me lo fanno; ma oggi dopo 3 giorni mi dicono di ripristinare un bekup!!! Ok ho dormito anche io, ma la loro unica email il 1 gennaio, di risposta alla mia, diceva:

""Un hacker ha sostituito la home page del suo sito web. Per ripristinare il tutto basta ricaricare la index nel suo spazio FTP.""

e più niente fino ad oggi. Io avevo provato ma forse si è incasinato ancora di più.

Conanbarbaro · « **Risposta #6 il:** 04 Gen 2010, 16:40:46 »

Citazione da: frascan - 04 Gen 2010, 15:58:09

Ciao.
Come prima cosa bisogna capire se l'attacco è arrivato attraverso joomla o una estensione non aggiornate oppure attraverso un attacco di altro tipo, magari al server su cui sei ospitato.
Che versione di joomla usavi e che estensioni avevi installate lo dovresti sapere tu.

Se hai omesso di fare aggiornamenti e backup la resposabilità è la tua a mio avviso.

Per quanto riguarda i servizi offerti dal fornitore di hosting stesso discorso dovresti sapere che tipo di contratto hai sottoscritto e se comprende o non comprende il servizio di backup.

Mi dispiace se sono un po duro e diretto ma è storia vecchia in informatica non tenere conto della sicurezza per tempo e pensarci quando è accaduto l'irreparabile.

Ciao frascan,
scusa se approfitto dello spazio (chiedo scusa anche all'autore del 3d se lo sfrutto

) ma volevo chiedere una info in proposito evitando di aprire un ulteriore 3d:

ammesso che il mio servizio di hosting includa un back up periodico (devo controllare ma lo escludo, dato che parliamo di altervista gratuito) posso farmi un back up completo del mio sito in qualche altro modo? Ad esempio con FileZilla via FTP? In caso di risposta affermativa, come devo fare?

Grazie mille

frascan · « **Risposta #7 il:** 04 Gen 2010, 17:10:01 »

Ciao conanilbarbaro,
come sai non è buona norma agganciarsi ai topic già aperti perchè si genera confusione nel forum.
Comunque dai un'occhiata a questo link:

http://wiki.joomla.it/index.php?title=Backup_del_proprio_sito

mau_develop · « **Risposta #8 il:** 04 Gen 2010, 17:29:15 »

Credo che il provider ti abbia risposto più che correttamente.

Chiedergli che grado di sicurezza hai ora è come chiedere alla fidanzata se ti farà mai le corna....

allo stato attuale, e da ciò che dice, mi sembra tu sia garantito,... per il futuro, chi può dirlo.

NON ACCUSATE GLI HOSTER, chiedete collaborazione e facilmente l'avrete, ovviamente in base al servizio pagato e al contratto stipulato. Se non pagate un servizio di backup, mapercheccavolo sarebbe responsabile l'hoster,... altro esempio: se ti rubano in una casa in affitto te la prendi con il padrone di casa?

... insomma, non facciamo diventare una cosa utile e che può accrescere la sicurezza in una serie di accuse e risposte, non serve!

M.

Conanbarbaro · « **Risposta #9 il:** 04 Gen 2010, 18:28:57 »

Citazione da: frascan - 04 Gen 2010, 17:10:01

Ciao conanilbarbaro,
come sai non è buona norma agganciarsi ai topic già aperti perchè si genera confusione nel forum.
Comunque dai un'occhiata a questo link:

http://wiki.joomla.it/index.php?title=Backup_del_proprio_sito

Grazie frascan,
la pagina del wiki da te segnalata, indica tre possibilità: fare un back up via ftp dei files, fare anche un back up del database direttamente dal pannello Phpmyadmin del tuo servizio host e infine dice che si puo' anche utilizzare questo plugin JBackup System Plugin (nativo 1.5) che compila un back up completo settimanale e te lo spedisce via mail.

Sai percaso come si usa? Bisogna installarlo su Joomla come si fa con i comuni moduli/componenti?

56francesco · « **Risposta #10 il:** 04 Gen 2010, 18:39:16 »

Citazione

Credo che il provider ti abbia risposto più che correttamente.

assolutamente no, la risposta è vaga ed approssimativa.
e non voglio polemizzare ma sto dalla parte dell'utente joomla, con joomla qualsiasi hoster fa un discreto volume di affari quindi deve rispettare i suoi utenti che come tutti sappiamo non devono essere esperti informatici ne tanto meno ditte con tanto di dps.

Facile incolpare joomla e facile venire qui a dire che le risposte sono coerenti ma il tutto è a scapito del consumatore di spazio hosting.

Io pretenderei (prima di accettare la sua risposta ed incolpare l'utente dei delitti di mancato backup) un dettaglio su quale vulnerabilità è stata sfruttata e di quale estensione o componente o modulo o plugin completo di versioni degli stessi.

meglio se il tutto rappresentato in linguaggio tecnico anche astruso, qui chi si intende di quei termini non mancano...

frascan · « **Risposta #11 il:** 04 Gen 2010, 18:56:46 »

Pienamente d'accordo con te 56francesco!

Ovviamente qui stiamo parlando in maniera accademica ed ipotetica senza dati certi in mano.

E' naturale che un hoster che dichiara che l'attacco ad un server è arrivato da versioni obsolete di joomla deve dimostrarlo dati alla mano e non con due righe di mail.

Altrettanto naturale che ognuno di noi che sottoscrive un contratto di hosting deve essere consapevole di quello che va a sottoscrivere.

Piccola considerazione personale: il mondo delle interfacce grafiche e user friendly genera l'illusione che tutti possano diventare webmaster o programmatori con quattro click ma la realtà è ben diversa.

Fermo restando che in qualità di consumatori (in questo caso di servizi di hosting) abbiamo i nostri sacrosanti diritti bisogna prima accertare le responsabilità caso per caso e poi far valere le proprie ragioni.

56francesco · « **Risposta #12 il:** 04 Gen 2010, 19:05:00 »

frascan ammetto che la prima email possa essere generica, sono il primo a dire che un utente joomla non è tenuto a sapere niente di informatica...
ma ad una seconda richiesta specifica deve, ripeto deve essere preciso ed utilizzare un linguaggio tecnico..

come dicevo qualche post fa dal 1 gennaio 2010 è operativa anche in italia la share action ciò deve far riflettere molti che confidavano nel solito fatto che le spese legale scoraggiavano le richieste per piccoli danni...

ora non è più così.. meglio saperlo ed attrezzarsi in tempo, ok alla sicurezza ma ok anche a lanciare qualche script che individuate le caratteristiche dei file immessi in qualsiasi modo li cancellano in due minuti..

non è che ci voglia poi tanto, basta iniziare a porsi il problema, altrimenti si può sempre abbonare il rateo mensile del servizio, no?

armal67 · « **Risposta #13 il:** 04 Gen 2010, 21:13:03 »

Come giustamente avete detto voi, chi più chi meno, che non è utile prendersela con il provider io sto cercando di ripristinare il sito. Avendo cambiato le password ho cambiato via ftp le password in configuration.php ed ora rivedo il messaggio di ieri:

Warning: require(/var/www/virtual/armalweb.net/htdocs/modules/mod_login/tmpl/default.php) [function.require]: failed to open stream: No such file or directory in /var/www/virtual/armalweb.net/htdocs/modules/mod_login/mod_login.php on line 27

Fatal error: require() [function.require]: Failed opening required '/var/www/virtual/armalweb.net/htdocs/modules/mod_login/tmpl/default.php' (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/virtual/armalweb.net/htdocs/modules/mod_login/mod_login.php on line 27

Io di programmazione e database non ne so molta, vi chiedo aiuto se si può fare ancora qualcosa.

Grazie

Armando

mau_develop · « **Risposta #14 il:** 04 Gen 2010, 22:14:29 »

vuol dire
require(/var/www/virtual/armalweb.net/htdocs/modules/mod_login/tmpl/default.php)

è richiesto il file default.php che sta in /modules/mod_login/tpl/default

e lo chiede a qs riga di mod_login.php:
No such file or directory in /var/www/virtual/armalweb.net/htdocs/modules/mod_login/mod_login.php on line 27

e fallisce, ovvero non lo trova.

O non c'è o è sbagliata/cambiata la path, ovvero la "strada" da fare per raggiungerlo.

M:

il configuration.php che hai modificato ha dentro una riga così
var $live_site = ' ';

che indirizzo è inserito?
E' il configuration originale che stava sul sito al momento dell'attacco?

armal67 · « **Risposta #15 il:** 04 Gen 2010, 22:49:59 »

Grazie mau_develop.
Dopo il tuo suggerimento ho caricato i file da un mio sito funzionante, dopo mi ha dato gli stessi errori per il whosonline e infine per il template a cui ho cambiato un file default.php nel main menu ora se vado su www.armalweb.net si vede il ma l'amministrazione mi da:

Error 403!

/administrator/
Forbidden!

dimmi cosa sbaglio e se fin ora va bene.

Grazie mille

Armando

armal67 · « **Risposta #16 il:** 04 Gen 2010, 23:07:53 »

Come non detto, troppi problemi, ricarico la copia del sito con le index alterate.... almeno li c'è tutto!!!

mau_develop · « **Risposta #17 il:** 04 Gen 2010, 23:13:53 »

... in effetti la vedo dura, non ti fai mica tanto telecomandare

ascolta, l'ultima cosa che ti posso proporre è prendere quello che tu chiami "copia del sito con le index alterate", togliere le password dal file configuration, zippalo e inviamelo per mail, domattina gli do' un'occhiata e ti dico dov'è il problema.

M.

frascan · « **Risposta #18 il:** 04 Gen 2010, 23:18:45 »

Infatti adesso lo vedo di nuovo defacciato il sito.
Sinceramente a me pare una semplice pagina in html quella di defacciamento.
Guarda mi offro volontario per analizzare il codice di joomla e vedere dove stanno i problemi.
Quanto pesa il file zippato della tua installazione di joomla?

armal67 · « **Risposta #19 il:** 04 Gen 2010, 23:28:22 »

Vi ringrazio entrambi, siete troppo gentili.

Appena filezilla ha ricaricato tutti i file della copia torno a fare quelle prove che avevo iniziato il 1 gennaio, che mi avevate dato qui sul forum e che stavano dando ottimi risultati prima di pranzo, solo che dopo pranzo era cambiato tutto!!!

Vi tengo informati.

Armando

frascan · « **Risposta #20 il:** 04 Gen 2010, 23:31:54 »

Ok. Metti al sicuro una copia del backup dei files e delle cartelle di joomla e una copia del backup del database e fai tutte le prove che vuoi.
Se hai bisogno batti un colpo e ti sarà aperto.

Come diceva prima mau_develop è difficile cercare di indirizzarti e guidarti eh?

mau_develop · « **Risposta #21 il:** 05 Gen 2010, 08:52:32 »

Molto semplicemente stai continuando a riuppare il file "sporco", non penso che il tipo sia così veloce, ne che ti stia curando, ne che esista un bot. L'unica possibilità che quel deface sia "fresco" è che abbia uno script sul server... ma a questo punto è un po' "folk" l'hoster

Siccome la probabilità che lo script si trovi nelle index è molto alta ti consiglierei di provare a sostituire i due files index che trovi appena entri nella directory joomla e quello nel template che usi con quelli dei backup.

M.

armal67 · « **Risposta #22 il:** 05 Gen 2010, 10:00:52 »

Difatti sto, piano piano, sostituendo le index.html i default.php che erano stati sostituiti. Unico problema è che ce ne ovunque ci metterò un po di tempo.
Ho finito l'amministrazione sito ed è una gioia non vedere più quella schermata!!!

Mi siete stati di grande aiuto, appena avrò finito metterò [risolto].

Armando

armal67 · « **Risposta #23 il:** 05 Gen 2010, 15:56:28 »

Le compagne hanno sempre la priorità, in più mi sono accorto che sul mio ho sbagliato qualcosa e devo ricominciare da capo. Ora www.lefateignoranti.org , che è il sito della mia ragazza, che era nelle stesse condizioni, l'ho ripristinato.
Ho utilizzato come supporto un altro sito funzionante e passo passo ho sostituito tutti i file che presentavano la stessa dimensione 1661, non solo gli index.html ma anche default.php e altri file all'interno delle cartelle tmpl.
Unico problema la gestione del menù, ma penso che cambiando template si risolva.
Ditemi se ho fatto qualche cavolata.
Grazie
Armando

frascan · « **Risposta #24 il:** 05 Gen 2010, 16:38:43 »

Sul sito che hai segnalato il link del "esperienze" va alla solita pagina defacciata

rojo · « **Risposta #25 il:** 05 Gen 2010, 17:02:25 »

Citazione da: frascan - 05 Gen 2010, 16:38:43

Sul sito che hai segnalato il link del "esperienze" va alla solita pagina defacciata

Ed è la stessa pagina defacciata che si trova sul sito degli autori del template 'armalweb.net'.

armal67 · « **Risposta #26 il:** 05 Gen 2010, 17:19:17 »

Grazie Frascan mi era scappato, a forza di cambiare file ci si perde.
Si è lo stesso del mio sito www.armalweb.net, ho ricaricato il beckup infetto perché avevo sbagliato qualcosa nel modificare i file e non funzionava il retro del sito ora eseguo gli stessi cambiamenti che ho fatto sull'altro sito.