Attacco di Hacker [RISOLTO]

[robertino1171]

Sono nuovo di Joomla e sto cercando di capire come rimettere a posto il sito aziendale dopo un attacco. Allo stato attuale, al posto della homepage del sito, comapare una pagina redatta da un Hacker.
Avete delle indicazioni inerenti i passi da effettuare per ripristinare una situazione accettabile.
Premetto che ho studiato il funzionamento di Joomla per 4/5 ore e ho capito abbastanza. La password di admin non è in mio possesso (ho "ereditato" il sito da una situazione particolare) ma ho accesso al DB Mysql e ho trovato una procedura per recuperarla. Ho l'accesso funzionante ftp alla root

Ho un backup del sito prima del disastro ma non ho un backup di Mysql

[mmleoni]

ciao robertino1171,

benvenuto sul forum.

prova così:

1.
scarica il sito e il db (back up situazione attuale)

2.
scarica l'ultima versione di joomla (1.5.15 per la versione attuale, attenzione che il sito non fosse ancora in 1.0, nel caso comunicacelo)

3.
carica il nuovo joomla in ftp, eccetto la directory installation, sul sito

4.
ripristina la pw di admin
http://wiki.joomla.it/index.php?title=Recupero_password_admin

5.
facci sapere

ciao,
marco

[robertino1171]

Una domanda.

Il sito è su hosting linux.
Sul mio PC ho effettuato il download della versione Joomla di Windows.
Posso effettuare l'upload ftp con i file della versione Joomla per hosting windows?

[mmleoni]

 
non esiste una versione win di joomla!!
scaricala da joomla.it e va bene per tutte le stagioni

ciao,
marco

[robertino1171]

Una domanda:

il sito, prima di essere "defacciato", aveva dei contenuti e un template personalizzato.
Dal momento che dovrei sovrascrivere  tutte le cartelle nella root (carico del nuovo Joomla via ftp), intuisco che contenuti e personalizzazioni non sono presenti in queste cartelle. Giusto per avere una migliore compressione della struttura:
dove sono contenuti i testi?
dove sono contenute le informazioni inerenti la personalizzazione (jpeg, frame, etc)?
Vorrei essere certo di poter recuperare il lavoro effettuato e di rimettere in piedi una situazione pulita.

[mmleoni]

. dove sono contenuti i testi?
nel db

. dove sono contenute le informazioni inerenti la personalizzazione (jpeg, frame, etc)?
se il sito è stato fatto correttamente (ecco perché ti ho suggerito un bu), in una cartella apposita nella cartella template

.Vorrei essere certo di poter recuperare il lavoro effettuato e di rimettere in piedi una situazione pulita.

fatto quanto detto prima potrai accedere al sito se il template non è stato compromesso, altrimenti potrai accedere al be e cambiare il template, intanto che lo esamini. ti consiglieri di non ricaricare il precedente template finché non sarai sicuro che non sia stato  quello il punto di accesso per l'attacco.

ciao,
marco

[robertino1171]

Ho caricato Joomla via FTP.

Ho effettuato la procedura di modifica della password di admin.

vado su www.nomesito.com/administrator

inserisco username e password e compare:

Login denied! Your account has either been blocked or you have not activated it yet.

Hai suggerimenti?

[mmleoni]

uno al volo: verifica anche che il campo block sia impostato a 0
(stessa procedura della guida per il recupero pw)

ciao,
marco

[robertino1171]

Va bene.

Sono riuscito ad accedere.

Due problemi:

1. Dal pannello non riesco a cambiare la password di admin (sotto Sito non vedo Gestione utenti).

2. Cosa devo fare ora?

[robertino1171]

Va bene.

Sono riuscito ad accedere.

Rimane un problema; cosa devo fare ora?

[robertino1171]

Sono andato avanti per intuito.

Riassumiamo:

ho seguito i passi suggeriti.
Ora il sito si apre con un template standard.
Se copio nella cartella "templates" la cartella contenente il template pesronalizzato, ecco il dafacing.
Evidentemente è il template. A questo punto cosa mi suggerisci di fare?

[mmleoni]

questo vuol dire che ANCHE il template era stato compromesso.

1.
Verifica tutti i contenuti (testi vari) e verifica non contengano js o codici malevoli, poi controlla tutte le estensioni installate, provvedendo, ove necessario, all'aggiornamento.

2.
verifica attentamente il codice del template che hai nel backup precedente all'attacco e carica questo.

3.
effettua un back up di sito e db on line.

ciao,
marco

[robertino1171]

E' stata una giornata molto dura!

Il problema era il template. In particolare avevano manomesso il file index.php del template. Avevo un backup di una settimana fa e ho preso da lì il vecchio index.php. Ora tutto funziona correttamente.

Ho cambiato tutte le password e, in 2/3 giorni cambio anche quella di mysql. Domanda: se cambio la password di mysql è sufficiente inserire la nuova password in configuration.php al posto della vecchia?

Altra domanda prima di chiudere: ho paura che l'evento si verifichi nuovamente. Ritengo che siano arrivati a ciocon un Brute force attack sulla password (è possibile??) di admin. Giovedì e venerdì ricevevo codici di reset passord senza aver richiesto il reset della password. Puoi suggerirmi altri accorgimenti per mettere al sicuro il sito.

Ti ringrazion anticipatamente. Fino a ieri sera non sapevo nenache cosa fosse Joomla e oggi ho ripristinato un sito. La tua guida è stata fondamentale!

[mmleoni]

contento che tu abbia risolto 

come già detto non essere così sicuro che il problema fosse solo il template. rileggi tutto quello che ti ho detto nei post precedenti, dato che, personalmente, penso che abbiano guadagnato l'accesso sfruttando qualche vulnerabilità di joomla o delle estensioni (se cambi la pw da backend non viene inviata comunicazione ). nella mia esperienza gli attacchi brute force li ho visti solo nei films...

per mysql: sì

per il resto leggi le varie guide disponibili e continua a frequentare il forum, ma soprattutto tieni aggiornato il sito.

ciao,
marco

ps: aggiungi [RISOLTO] al titolo del post di apertura del topic.

[mau_develop]

nella mia esperienza gli attacchi brute force li ho visti solo nei films...
----------------------------------------------
quoto, anche se sti pischelletti...

M.

[robertino1171]

nella mia esperienza gli attacchi brute force li ho visti solo nei films...
----------------------------------------------
quoto, anche se sti pischelletti...

M.