Attacco Hacker Turchi...no problem!!!

[francesco.celano]

Salve a tutti, come molti ho subito un attacco da hacker turchi. si risolve in pochi passi:

1. cambiare la password admin da mysql (settate: 827ccb0eea8a706c4c34a16891f84e7b   che equivale ad 12345)
2. Accedete dal lato amministrativo (admin e 12345)
3. il front end è ancora hackerato!!! cambiate template predefinito, o installatene uno nuovo.
4. cambiate la password di admin
5. installate l'aggiornamento di joomla che vi risolve il problema!!

spero vi sia di aiuto!!!
buena sorte...

[56francesco]

benvenuto nel forum di joomla.it

puoi dirci che versione di joomla tenevi?
ora siamo alla 1.5.15

grazie e buona permanenza

[mau_develop]

che erano turchi si vedeva dal mucchietto di mozziconi sulla home

... è che molti pischelletti sono talmente incompetenti in ciò che fanno che usano gli script belli e pronti...due righe di shell e via!
... solo che magari lo script colletta in giro il materiale usato dal turco... ma tranquillo che  7/10  è il tuo vicino di casa

M.

[bitliner]

Io invece ho ricevuto, dal modulo contatti di un sito Joomla, una email in cui il testo, destinatario e oggetto erano indecifrabili (lettere a caso)...più avanti c era un link per segnalare che fosse uno spam, ma anche questo secondo me faceva parte dello spam stesso.
Potrei essere uno dei prossimi bersagli?

[francesco.celano]

brutte notizie...cercando di risolvere il mio problema mi è capitato di leggere questo arcticolo
http://www.pillolhacking.net/2008/08/20/attacco-a-joomla-15x/

dove rispecchia in perfezione l'attacco subito sul mio sito.
Dopo la domanda posta da 56francesco ho constatato che io avevo già l'ultima versione di joomla..quindi presuppongo che il problema si è rimanifestato, oppure hanno trovato un altra via per fare la stessa cosa.
Per rispondere a bitliner, io il giorno prima dell'attacco ho notato la registrazione al sito di un utenza strana Cvf.... con una casella gmail. non saprei dirti, so solo che mi è arrivata una richiesta di cambio password per l'utenza amministrativa e li mi son accorto dell'hacheraggio. Puoi disabilitare il modulo di login nel frontend per evitare questo attacco(per adesso io ho fatto cosi!!!).

[mau_develop]

Io invece ho ricevuto, dal modulo contatti di un sito Joomla
------------------------------------------------------------

attenzione a questa cosa.
Non è pericolosa finchè non la fate diventare tale.

Il modulo contatti è vulnerabile al CSRF (guardare magari su wikipedia)

Di per se non è pericoloso ovviamente se non cliccate sui link.

Perchè se ricevete una mail "strana" cliccate su qualsiasi cosa?

Se qualcuno che non conoscete vi ferma per strada e vi dice "vieni con me a fare questo?" ....voi ci andate?

Non credete perchè c'è un video di mezzo di rischiare meno.

---------------------------------------------------------------
io il giorno prima dell'attacco ho notato la registrazione al sito di un utenza strana Cvf.... con una casella gmail. non saprei dirti, so solo che mi è arrivata una richiesta di cambio password per l'utenza amministrativa e li mi son accorto dell'hacheraggio.
-----------------------------------------------------------------
il cambio password è o era un'altro punto debole, ma non sfruttabile a meno di un'altra vulnerabilità seria.
http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

detto tutto questo... secondo me Joomla è sicuro!

M.

EDIT: mi sono letto quell'articolo su pillolhackink...
---------------------------------------------------------------
E’ stato trovato un bug gravissimo che permette di ottenere l’accesso al pannello di amministrazione in pochi secondi.
Il 9 Agosto veniva rilasciata la versione 1.5.6 di Joomla, il cui scopo principale era quello di chiudere una falla gigantesca nel meccanismo di reset della password.
----------------------------------------------------------------

E' DI AGOSTO 2008, se hai ancora questi problemi vuol dire che non hai aggiornato quando sono stati proposti gli update.
Credo che quella vulnerabilità sia stata una delle prove di efficienza del Team di sviluppo di Joomla, la vulnerabilità ricordo che è stata resa pubblica il mattino, come 0day, quindi contemporaneamente alla comunicazione a Joomla... a sera era già scaricabie la patch....e il giorno dopo la nuova versione.

[vamba]

detto tutto questo... secondo me Joomla è sicuro!

..Spe riamo ...

[mau_develop]

bah... me lo sono testato in lungo e in largo... e non c'è granchè.. ovvio che le piccole magagne ci sono in ogni codice ma come dicevo prima sono sfruttabili solo con la "complicità" dell'utente, non sono attacchi diretti.

Puntualizzo che mi riferisco SOLO e UNICAMENTE a Joomla base, senza nulla di aggiunto o modificato.

M.

[studer]

ho avuto un problema analogo lo scorso mese e i galantuomini  avevano inserito pagine di phising....

[56francesco]

Io invece ho ricevuto, dal modulo contatti di un sito Joomla, una email in cui il testo, destinatario e oggetto erano indecifrabili (lettere a caso)...più avanti c era un link per segnalare che fosse uno spam, ma anche questo secondo me faceva parte dello spam stesso.
Potrei essere uno dei prossimi bersagli?

No, non sarai il prossimo bersaglio, non fosse altro perchè mattacchioni (meglio non scrivere quel termine, ci sono i motori di ricerca..) e gli spammers sono due categorie distinte e separate senza alcun contatto tra loro e anzi i mattacchioni odiano ferocemente gli spammers che intasano le risorse della rete a scopi prettamente commerciali...

[claudiob]

ho la versione aggiornata, ma è la seconda volta che subisco un attacco "turco" sono intervenuto più o meno come è stato consigliato dal forum e ho risolto ma questa volta mi hanno modificato anche il lato amministrativo ovunque mi muova carica la home page turca
cosa devo fare?

Io invece ho ricevuto, dal modulo contatti di un sito Joomla, una email in cui il testo, destinatario e oggetto erano indecifrabili (lettere a caso)...più avanti c era un link per segnalare che fosse uno spam, ma anche questo secondo me faceva parte dello spam stesso.
Potrei essere uno dei prossimi bersagli?

No, non sarai il prossimo bersaglio, non fosse altro perchè mattacchioni (meglio non scrivere quel termine, ci sono i motori di ricerca..) e gli spammers sono due categorie distinte e separate senza alcun contatto tra loro e anzi i mattacchioni odiano ferocemente gli spammers che intasano le risorse della rete a scopi prettamente commerciali...

[vamba]

Don't worry!
non sei il solo
hanno bucato anche qualche piccolo sitarelo personale  ... (che però utilizzavano la release 1.0.x LOL)
http://www.alltogetherasawhole.org/profiles/blogs/crackers-infiltrate-old-joomla

[bitliner]

Il modulo contatti è soggetto ad attacchi CSRF?
Come mai?
Nel framework Joomla vi è una soluzione ad hoc per evitare attacchi di questo tipo, come mai nel modulo contatti non vi è implementata?
Forse che la soluzione fornita da Joomla non è sufficiente?

[mau_develop]

Il modulo contatti è soggetto ad attacchi CSRF?
-----------------------------------------------
eh sì

M.