Joomla.it Forum

Non solo Joomla... => Sicurezza => : HowardTheDuck 15 Apr 2010, 10:20:36

: BackEnd bloccato con la solita password admin rubata
: HowardTheDuck 15 Apr 2010, 10:20:36

Ciao a tutti,
mi sono iscritto oggi dopo che hanno violato anche il nostro sito con la procedura di cambio password admin.

Ho scorso i vari messaggi ma non sono riuscito a risalire a una procedura passo passo per ripristinare la situazione e "patchare" dove serve per evitare che si ripeta.

Mi potete indirizzare? Al momento il sito funziona ma l'accesso admin è bloccato.

Grazie
Cristiano

: Re:BackEnd bloccato con la solita password admin rubata
: mau_develop 15 Apr 2010, 11:33:52

Il tuo caso è differente da ciò che ultimamente sta succedendo su vari hosting/siti, direi che sono passati da qualche componente non aggiornato o dal core se non sei alla .15

Se non è un hosting free non corri rischio di owning vero e proprio, il tuo hoster riconosce solo chi gli paga la quota annua, quindi sarai sempre in grado di ri accedere a tutti i tuoi servizi.

Detto questo perchè... difficilmente hanno cambiato la password di gestione dell'sql.
a quel punto entra nel database, rimuovi ciò che tu non hai creato e procedi alla reimpostazione della password seguendo la guida su qs sito.

Tieni conto che solitamente prima di cambiare le password si cerca di turare la falla, altrimenti è inutile.

Se hai backup recenti del db puoi anche usare quello per ripristinare tutto. In questo caso gli aggiornamenti dei componenti etc. falli dopo, altrimenti prima patchi e poi rischi di disfare qualcosa col vecchio db.


M.

: Re:BackEnd bloccato con la solita password admin rubata
: mmleoni 15 Apr 2010, 12:37:12

ciao HowardTheDuck,
 benvenuto sul forum.

... non sono riuscito a risalire a una procedura passo passo per ripristinare la situazione ...

guarda anche questo articolo sul mio sito:

http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

se poi hai problemi, ovviamente, continuiamo qui.

ciao,
marco

: Re:BackEnd bloccato con la solita password admin rubata
: HowardTheDuck 15 Apr 2010, 13:25:56

Ciao Ragazzi, grazie del supporto.
Ecco due info maggiori.
Si, ho la 1.5.15 con Community Builder/cbsubs, Virtuemart, Joomfish, Acymailing e vari altri moduli tutti aggiornati e credo "sicuri".
Al momento ho ripristinato la mia password usando la procedura dell'hacker che Mau ha descritto nel suo articolo e poi ho "patchato" con la procedura descritta nel suo articolo
Joomla, l'MD5 è solo un opinione .

Non so se sia stato sufficiente e se sia effetivamente accaduto questo.
Non sono un mago di Joomla e quindi faccio anche fatica a indagare bene cosa sia successo.

Adesso mi leggo bene l'articolo di Marco e cerco di capire meglio. Ma c'è un log completo di sistema sotto joomla? (lo so lo so, con questa domanda ho dimostrato tutta la mia abilità!).

Intanto grazie!
Cristiano