Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : bobighorus 14 Nov 2006, 16:05:39
-
Ciao!Sono il webmaster di www.blackbloodysabbath.it (http://www.blackbloodysabbath.it) ; stamattina mi sono accorto che mi hanno hackerato il sito! :'( Quello che posso dirvi che tutte le pagine in front-end non sono più raggiungibili ed al loro posto appare la firma degli hacker...invece il pannello di controllo funziona normalmente...anche il forum SMF (che funziona con database a parte) è a posto!Come posso fare per rimettere tutto a posto?
E, secondo voi, dove hanno trovato l'exploit? ??? :-\
I componenti di terze parti che ho installato sono EasyGuestBook, DocMan, OpenSef, ZoomMediaGallery e il modulo per Shinystat.
Grazie mille per l'aiuto... :)
-
Riesci a capire se hanno sovrascritto qualche file o solo fatto un deface?
Stai usando Joomla 1.5? ???
-
scusa -napo- ho sbagliato categoria!!!non uso joomla 1.5 ma la 1.0.11...un errore da newbie...scusami...riesci a cancellare il thread così lo posto nella categoria adeguata?grazie e scusa... :)
-
Per rimettere a posto ripristina un vecchio backup, ne hai uno vero?
Il problema sarebbe capire dove sta la falla..... per far si che non si ripeta.
-
no, purtroppo non ho un backup!!!secondo voi il mio provider può darmelo?
-
forse si, provare non nuoce.
Avevi anche JCE?
C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html (http://forum.joomla.org/index.php/topic,113796.0.html)
-
Riesci a capire se hanno sovrascritto qualche file o solo fatto un deface?
Il defacing c'è sicuramente; sia l'homepage, sia tutte le pagine interne sono state sostituite.
Dò una controllata al ftp...
Ma secondo dov'è il bug, dato che la Joomla base è dichiaratamente sicura?
Non riesco a capire quali dei componenti installati, che ho scritto prima, non è sicuro...a meno che non sono passati dal template? ma mi sembra stranissimo...
-
forse si, provare non nuoce.
Avevi anche JCE?
C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html (http://forum.joomla.org/index.php/topic,113796.0.html)
No, non avevo JCE... :-\
-
leggi qui' (http://forum.joomla.org/index.php/topic,110419.0.html)
-
leggi qui' (http://forum.joomla.org/index.php/topic,110419.0.html)
Si, effettivamente il tizio hacker corrisponde...ma credo che il tipo di attacco sia diverso...inoltre il backend funziona tutto.,..ma non è strano che il frontend sia partito e il backend no? ???
-
Ciao è capitato anke a me... sono dei ragazzini... dei lamers si diceva una volta...
Prova semplicemente ad uploadare via ftp il file index.php della root di joomla... e se nn c'è l'hai scarica la versione che avevi o anche l'ultima non la 1.5
Semplicemente hanno modificato il file index.php...
Tutto il resto è ok... come dimostra la possibilità di accedere all'administrator...
-
Grazie mille dell'indicazione! ;D Spero che riesco ad aggiustare il tutto! Ma secondo te come sono entrati?
-
Ancora non conosco molto bene ne php ne apache... ma ad intuito credo ke sfruttino il fatto che register globals è on... sai l'indicazione ke da all'admin nel pannellone...
ma potrei anche dire una corbelleria...
cmq ancora non sono riuscito a trovare globals.php per fare questa modifica... mi sà ke sto file è a disposizione solo dell'hoster...
indagherò...
fammi sapere se il tentativo ke ti ho suggerito ha dato qualche risultato...
-
il register global è un problema di sicurezza sempre e comunque..ecco perchè (secondo me) è meglio disattivarlo....probabilmente ci perdi qualcosa in compatibilità, ma guadagni molto in sicurezza..
ricorda che l'avviso si riferisce all'emulazione register globals di Joomla...il problema del register global definito nel php.ini viene indicato in rosso quando si installa joomla...
-
Ma quale file dobbiamo modificare? io non ho capito questo...
Php.ini ? Ma possiamo modificarlo se siamo in hosting?
grassie...
-
no, se sei in hosting puoi chiedere al provider di cambiarti l'impostazione, ma non tutti lo fanno..
prova a leggere qui
http://forum.joomla.org/index.php/topic,93640.0.html
-
Se ti hanno modificato il file index.php come dice Dario farei un giro anche sui permessi!!
-
Ma quale file dobbiamo modificare? io non ho capito questo...
Php.ini ? Ma possiamo modificarlo se siamo in hosting?
grassie...
io su un hosting negli states mi è bastato inviare via ftp sotto administrator il file che ti allego non so se funziona anche con il tuo host . prova... chiedi....
[allegato eliminato da un amministratore]
-
sto realizzando una guida che metterò nel forge riguardo questo argomento..c'è anche la soluzione di cos tra le possibili soluzioni ;)
-
la consulatazione del forge sarà pubblica cioè di tutti ?????
-
Innanzitutto grazie a tutti per la collaborazione!
Ho fatto un controllo sul ftp; sembra tutto ok; ho provato a uplodare index.php e index2.php; ora vengono visualizzati questi messaggi:
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47
Warning: require_once(/home/blackbloodysabbath.it/components/com_sef/sef.php) [function.require-once]: failed to open stream: Success in /home/blackbloodysabbath.it/index.php on line 47
Fatal error: require_once() [function.require]: Failed opening required '/home/blackbloodysabbath.it/components/com_sef/sef.php' (include_path='.:/usr/share/pear') in /home/blackbloodysabbath.it/index.php on line 47
Il safemode è OFF; come posso fare? Che cosa vuol dire questo?
Nessuna idea di come siano entrati? ???
Grazie!
-
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47
Sembrerebbe che i tuoi file abbiano cambiato proprietario... :o
Verifica dal tuo client FTP come sono messi i permessi.
-
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47
Sembrerebbe che i tuoi file abbiano cambiato proprietario... :o
Verifica dal tuo client FTP come sono messi i permessi.
Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...
-
Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...
Come sarebbe a dire che sono TUTTI a 777? :o :o :o
Starai scherzando...
-
Si infatti!Ho pensato anach'io; tuttavia tutti i permessi sono a 777...
Come sarebbe a dire che sono TUTTI a 777? :o :o :o
Starai scherzando...
Ehm...tutte le cartelle e i file della root hanno lettura,scrittura ed esecuzione per proprietario, gruppo e resto del mondo...
-
Ehm...tutte le cartelle e i file della root hanno lettura,scrittura ed esecuzione per proprietario, gruppo e resto del mondo...
Ecco come sono entrati... ;D
-
Si ma non li ho messi io ;)...mah...e cmq supponendo che sono stato io, come hanno fatto ad entrare? e cosa posso fare per far funzionare il tutto ??? Devo riuplodare tutto il sito?non credo, dato che il backend funziona e vorrei evitare di perdere tutto quello che ho fatto... :(
-
Infatti avevo chiesto i permessi per capire!!! Ma avevi ma controllato i permessi prima? Se erano set giusti vuol dire che le hanno cambiati!!
-
Infatti avevo chiesto i permessi per capire!!! Ma avevi ma controllato i permessi prima? Se erano set giusti vuol dire che le hanno cambiati!!
Si infatti, io li avevo settati giusti... :-\ ma cosa posso fare ora? il provider mi ha scritto che il database non è stato toccato ma solo le index...ma ho provato a riuplodare index.php ma escono quegli errori... ???
-
Altro aggiornamento...ho dato un'occhiata e ho scoperto che sembrano essere passati dal componente OpenSef e GoogleSiteMapGenerator e si spiegherebbero così molte cose riguardo alle url compromesse ed ai permessi.
Ho cercato di disinstallare i due componenti incriminati ma niente; non ho i permessi sulle relativa cartelle.
Il provider mi ha scritto che safe_mod è ad on...
Si accettano idee per come fare a risolvere... :)
Grazie.
-
Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.
-
si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni ;)
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html
-
si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni ;)
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html
Complimenti Bettinz :)
-
grazie surf ;)
-
Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.
ok, ci provo. Ma devo reinstallare tutto? E cmq nessuno ha idea di come siano entrati?
Ho il forte sospetto, come ho scritto, che siano passati da OpenSef ma il mio dubbio è: come ??? dato che lo avevo si installato ma era disabilitato!!! ??? :-X
-
Ulteriore aggiornamento: ho scoperto che è stato hackerato anche il forum in SMF!!! nonostante avesse un database a sè stante, diverso da quello di Joomla!!!!
-
si cos, il forge è aperto a tutti..ed è già aperto da alcuni giorni ;)
http://forge.joomla.it/documenti-forge/messaggi-di-sicurezza-in-joomla-1.0.11.html
ci voleva .... bene
grazie
-
Beh, se hanno cambiato le proprietà delle cartelle, hanno i tuoi dati di accesso tramite ftp. Comincia col pulire il tuo pc e cambiare sti dati.
ok, ci provo. Ma devo reinstallare tutto? E cmq nessuno ha idea di come siano entrati?
Ho il forte sospetto, come ho scritto, che siano passati da OpenSef ma il mio dubbio è: come ??? dato che lo avevo si installato ma era disabilitato!!! ??? :-X
Se il provider ti ha scritto che il database non è stato toccato ma solo le index vuol dire che da lì sono partiti!! Se poi erano impostati male i permessi saranno riusciti a spulciare il resto!! Consiglio!! Installa tutto ex novo con user e pass diverse!!
-
Ho fatto un controllo sul ftp; sembra tutto ok; ho provato a uplodare index.php e index2.php; ora vengono visualizzati questi messaggi:
Warning: require_once() [function.require-once]: SAFE MODE Restriction in effect. The script whose uid/gid is 571/571 is not allowed to access /home/blackbloodysabbath.it/components/com_sef/sef.php owned by uid/gid 48/48 in /home/blackbloodysabbath.it/index.php on line 47
Warning: require_once(/home/blackbloodysabbath.it/components/com_sef/sef.php) [function.require-once]: failed to open stream: Success in /home/blackbloodysabbath.it/index.php on line 47
Fatal error: require_once() [function.require]: Failed opening required '/home/blackbloodysabbath.it/components/com_sef/sef.php' (include_path='.:/usr/share/pear') in /home/blackbloodysabbath.it/index.php on line 47
Il safemode è OFF; come posso fare? Che cosa vuol dire questo?
Nessuna idea di come siano entrati? ???
Grazie!
Senti ma percaso avevi aggiunto del codice al template per quanto riguarda qualche modulo di openSef???
Hai provato a disinstallare questo componente?
Eventualmente esporta il db mysql del forum su un file... nn si sa mai...
Xè cmq pare che gli unici errori ke ti ritorna il server sono legagti a questo componente...
Oppure prova a disabilitare eventuali moduli di openSef...
Ci sarebbe anche un tentativo... come dire... 'Stronz*'
Io ho avuto successo una volta....
Scarica un upgrade ad esempio dalla 1.0.8 alla 1.0.11 decomprili in locale e schiaffi il tutto via ftp....
Questo sarebbe il tentativo ultimo, prima di riuploadre l'intero Joomla! ... cmq fatti qualche backup del db...
Ma hai provato a chiedere al provider di ripristinarti l'ultimo backup del server al giorno prima dell'attacco???
-
forse si, provare non nuoce.
Avevi anche JCE?
C'è un avviso di ieri: http://forum.joomla.org/index.php/topic,113796.0.html (http://forum.joomla.org/index.php/topic,113796.0.html)
Non è proprio strettamente relativo a questo topic, ma io ho JCE 1.0.4. la patch la ho applicata alla fine di agosto, credo sia quella, non penso ci siano state altre patch successive, almeno non ne vedo sul sito di JCE.
-
Salve.Ora go risolto tutto. Praticamente sono entrati sia dal modulo GoogleSiteMap e sia dall'OpenSef(soprattutto).
Non credo poi siano riusciti a rubare la pass dell'ftp e del database, hanno semplicemente cambiato i permessi alle cartelle di questi componenti (che ingenuamente io avevo lasciato a 777), in modo che non potessi più disinstallarli.
E' stato sufficiente scrivere all'amministratore del server, che in quanto root, ha provveduto a cancellare le cartelle incriminate; non è necessario reinstallare tutto.
Ho recuperato totalmente anche il forum in SMF.
Comunque ho provveduto anche a far cambiare le pass dell'ftp e dei database.
Da notare che tutto questo è successo con SAFE_MODE impostato ad OFF.
L'unica cosa che non ho capito, e sarei felice se qualcuno me lo dicesse, e come hanno fatto a cambiare i permessi su quelle cartelle senza sapere la pass del ftp.
Credo che sia utile mettere questo topic in evidenza perchè l'amministratore del server mi ha confermato che sono stati hackerati altri due siti in Joomla su quel server nella stessa maniera.
Grazie comunque dell'aiuto e spero che possiate fornirmi informazioni su cosa è successo.
Ciao! :)
-
il register_global com'è?
cmq è chiaro che se gli utenti usano componenti non aggiornati, è come avere una casa con la porta chiusa e le finestre aperte
-
il register_global com'è?
cmq è chiaro che se gli utenti usano componenti non aggiornati, è come avere una casa con la porta chiusa e le finestre aperte
il register_global ora è ad ON; cmq i componenti erano aggiornati e addirittura erano disbilitati.
Quindi sono proprio bacati. :-\
-
il register global dovrebbe essere ad off..
inoltre non conta se un componente è disabilitato, basta che sia fisicamente presente sul server..
-
Scusate se mi intrometto...
Innanzitutto sono contento che tu abbia risolto.
Mi rivolgo a tutti gli esperti. Come devono essere impostati i permessi delle cartelle?
Il topic è sicuramente molto utile, ma sarebbe più utile a tutti sapere cosa verificare.
Grazie per le risposte.
-
il register global dovrebbe essere ad off..
inoltre non conta se un componente è disabilitato, basta che sia fisicamente presente sul server..
Si,infatti me ne sono accorto! >:(
-
Mi rivolgo a tutti gli esperti. Come devono essere impostati i permessi delle cartelle?
Guarda...da quello che ho capito da questa storia praticamente la cosa migliore e non mettere nessun file o cartella (specie "administrator","components") con i permessi a 777.
Se dovrai installare qualche nuovo componente o modulo, cambi temporaneamente i permessi per il tempo necessario all'installazione e poi li rimetti a 700 oppure a 750. :)
-
Su questo thread sembra che tutti abbiamo risolto i loro problemi (almeno quelli che rigurdano Joomla!). Io invece mi sono appena imbattuto nella difficolta' di installare tutti i tipi di componenti, dai templetas ai moduli (mi ritorna l'errore che il file .xml non e' presente).
Premesso che il file xml all'interno del pacchetto c'e', premesso che non ci sono 2 file .zip all'interno dello stesso pacchetto, credo che il problema derivi dalle seguenti impostazioni che il mio ISP mi da:
Register Globals: ON
Safe Mode: ON
Da quanto emerge in questo Thread, e' cosa buona e giusta che siano entrambi disabilitati, ma affinche' questo possa essere fatto bisogna chiederlo direttamente all'ISP.
Le domande che vorrei porvi sono 2:
1) L'ISP e' sempre propenso a cambiare queste impostazioni? E qualora non volesse, c'e' qualche altra soluzione?
2) Non c'e' un solazione temporanea (anche a scapito della sicurezza) per installare le componenti come docman?
Grazie e Ciao:
PS: non ho trovato la guida sul safe mode che Bettiz aveva detto che stava scrivendo!