Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : bobighorus 02 Dec 2006, 22:44:55
-
Salve a tutti. Sono il webmaster di www.blackbloodysabbath.it (http://www.blackbloodysabbath.it)...il mio sito è stato nuovamente hackerato e stavolta credo seriamente. >:( Non è un semplice defacement. Non funziona nemmeno il backend.
In ftp ho scoperto che hanno sovrascritto globals.php e configuration.php . Secondo voi hanno le pass dell'ftp?
Cosa posso fare?
L'altra volta erano passati da ìl componente OpenSef ma ora l'ho disinstallato.
Sono disposto a fornire password ecc. a chi volesse aiutarmi.
Grazie a tutti.
-
Mi dite, per favore, come mettere i permessi in maniera sicura? Grazie! :)
-
Ho risolto il problema...ora il sito funziona...ho ripristinato il config.php e il globals.php e funziona...sapreste dirmi ora come e perchè entrano? E come difendermi? Come impostara i permessi su file e cartelle? Grazie mille...
-
Certo che la sicurezza non ti interessa molto se sei disposto a fornire password in giro :)
Per quando riguarda i permessi, molti host hanno un sistema di ripristino dei permessi.
Un valore sicuro di permessi potrebbe essere 644 = rw-r--r--
La cosa che mi stupisce è quanto il tuo sito sia preso di mira... non è che sbagli qualcosa tu?
-
che versione di joomla hai installato?
-
Ho risolto il problema...ora il sito funziona...ho ripristinato il config.php e il globals.php e funziona...sapreste dirmi ora come e perchè entrano? E come difendermi? Come impostara i permessi su file e cartelle? Grazie mille...
Hai risolto ma spero che hai cambiato anche tutte le user e pass!!
1)Tutte quelle ke riguardano utenti di Joomla e amministrazione!!
2)Quelle ke riguardano il db
3)Quelle che riguardano il servizio hosting
-
Ciao a tutti!Vi ringrazio innanzitutto per l'interesse e la disponibilità. Per evitare vari quote rispondo a tutti in questo post.
Allora...
Ero disposto a cedere le password perchè pensavo potesse essere utile a chi ne sa più di me...credo che in questo forum ci si basi su uno spirito di gruppo che prevede (o almeno dovrebbe prevedere) una fiducia reciproca| :)
Ora credo di aver impostato i permessi giusti; ho inserito RWX per il proprietario, --- per il gruppo, R-X per il resto del mondo...
Anch'io, gallus, non riesco a capire perchè il mio sito sia preso così di mira...forse perchè in Google è il primo come chiave di ricerca e tentano sempre di fare qualche exploit...
Ora ho cambiato le pass; tuttavia vorrei chiedervi una cosa...perchè riescono ad entrare? E come? Questa è la cosa che non capisco...Joomla! core è sicura per definizione, quindi possiamo escludere bug...non ho componenti di terze parti installate (ad ecc. di ZoomGallery e EasyGuest che dovrebbero essere sicuri)...come fanno quindi ad entrare?
p.s.: ho trovato i file globals.php e configuration.php sovrascritti, ma nel senso che hanno rinominato quelli precedenti (non potendo cancellarli a causa dei permessi...)la domanda è: secondo voi hanno la pass del ftp? Io non credo (spero...)
Grazie a tutti! :)
-
Io cambierei anche le pass ftp e di tutto l'account del tuo provider!!
-
Ora credo di aver impostato i permessi giusti; ho inserito RWX per il proprietario, --- per il gruppo, R-X per il resto del mondo...
A cosa?
I file dovrebbero essere 644 e le cartelle 755.
-
Ora credo di aver impostato i permessi giusti; ho inserito RWX per il proprietario, --- per il gruppo, R-X per il resto del mondo...
A cosa?
I file dovrebbero essere 644 e le cartelle 755.
Avevo messo 705 sia ai file sia alle cartelle...ora le imposto come dici tu...
Ma nessuna idea di come facciano ad entrare?Anche in altri siti...nessuna notizia?
-
Allora...praticamente ho capito che sono riusciti a fare operazioni di scrittura e cambio permessi sui file.
Escludendo bug di Joomla credo cha abbiano avuto accesso all'ftp...voi che ne dite? Le uniche porte aperte sul sito sono la 20 e la 21 dell'ftp e il PhpMyAdmin...
-
Allora...praticamente ho capito che sono riusciti a fare operazioni di scrittura e cambio permessi sui file.
Escludendo bug di Joomla credo cha abbiano avuto accesso all'ftp...voi che ne dite? Le uniche porte aperte sul sito sono la 20 e la 21 dell'ftp e il PhpMyAdmin...
Scusa ma a questo punto ti chiedo se hai qualche "cavallino di troia" nel tuo pc!! User e pass ftp in genere non è così facile beccarle!!
-
Scusa ma a questo punto ti chiedo se hai qualche "cavallino di troia" nel tuo pc!! User e pass ftp in genere non è così facile beccarle!!
Anche perchè vengono trasmesse in chiaro.
-
Ciao!No, non ne ho...oltretutto mi collego sempre da mille computer diversi...
A questo punto comincio a dubitare dell'hosting...
Perchè anche tu pensi che abbiano avuto accesso all'ftp, vero?
Per fare defacent hanno modificato globals.php, cancellato configuration.php e messo tutti i permessi a 777...tutto questo implica l'accesso in ftp...da phpMyAdmin non si possono fare queste cose... ???
-
Diciamo che da phpmyadmin non dovrebbero riuscire a passare.
Potrebbero anche essere passati da un altro sito del server e poi arrivati al tuo.
Potresti chiedere al tuo provider di controllare nei log FTP chi ha fatto accesso ai file modificati.
Non te lo diranno mai, ma almento sapere se notano qualcosa di insolito.
-
Non te lo diranno mai, ma almento sapere se notano qualcosa di insolito.
Si infatti ho provveduto già a mandare una mail...
Quello che purtroppo posso dirt, ahimè, è che il register_globals è ad ON--- >:( Dici che è questa la causa di tutto? Anche se mi sembra strano che con questo settaggio si possano compiere operazioni a livello ftp...
-
Ciao!No, non ne ho...oltretutto mi collego sempre da mille computer diversi...
Questo non è un indice di sicurezza!!! Che computer sono!! Internet Point ??
-
Ciao!No, non ne ho...oltretutto mi collego sempre da mille computer diversi...
Questo non è un indice di sicurezza!!! Che computer sono!! Internet Point ??
No, è la rete interna dell'università che, a quanto ne so, è molto protetta... ;)
Che ne pensi a proposito del register_globals ad ON?
-
Ciao!No, non ne ho...oltretutto mi collego sempre da mille computer diversi...
Questo non è un indice di sicurezza!!! Che computer sono!! Internet Point ??
No, è la rete interna dell'università che, a quanto ne so, è molto protetta... ;)
Come il formaggio con i buchi ;)
-
Ciao!No, non ne ho...oltretutto mi collego sempre da mille computer diversi...
Questo non è un indice di sicurezza!!! Che computer sono!! Internet Point ??
No, è la rete interna dell'università che, a quanto ne so, è molto protetta... ;)
Come il formaggio con i buchi ;)
No, scherzi a parte, è molto protetta; ci sono amministratori seri. Figurati che sono disabilitate anche le porte 20 e 21...posso escludere trojan...
-
No, è la rete interna dell'università che, a quanto ne so, è molto protetta... ;)
Cioè il tuo sito sta in hosting su un server di facoltà? ???
-
No, è la rete interna dell'università che, a quanto ne so, è molto protetta... ;)
Cioè il tuo sito sta in hosting su un server di facoltà? ???
No no no!!! :) I computer dai quali mi connetto sono della facoltà! ;)
Ma a proposito del register_globals ad ON? potrebbe essere responsabile di queste azioni?
-
No, scherzi a parte, è molto protetta; ci sono amministratori seri. Figurati che sono disabilitate anche le porte 20 e 21...posso escludere trojan...
Un trojan basta che sia presente sul computer che usi !! Ne basta solo uno!! :-\
-
Ma a proposito del register_globals ad ON? potrebbe essere responsabile di queste azioni?
Sì, potrebbe.
-
No, scherzi a parte, è molto protetta; ci sono amministratori seri. Figurati che sono disabilitate anche le porte 20 e 21...posso escludere trojan...
Un trojan basta che sia presente sul computer che usi !! Ne basta solo uno!! :-\
ehm...i computer della rete vengono clonati da quello principale ogni fine settimana; gli eseguibili non possono essere mandati esecuzione...la rete è provvista di proxy e bastian host...:D
-
Ma a proposito del register_globals ad ON? potrebbe essere responsabile di queste azioni?
Sì, potrebbe.
Ho capito. Quindi magari è questo il problema. Ma perchè? Che tipo di possibilità apre, in due parole, questa impostazione?Sempre se la risposta non è troppo lunga... :)
-
Non metto in certo in dubbio la professionalità dei sistemisti :)
-
Non metto in certo in dubbio la professionalità dei sistemisti :)
Cmq "errare humanum est"...ho mandato una mail per conferma...non si sa mai...grazie cmq della dritta! :)
-
Non metto in certo in dubbio la professionalità dei sistemisti :)
Cmq "errare humanum est"...ho mandato una mail per conferma...non si sa mai...grazie cmq della dritta! :)
Nessun sistema connesso a internet e sicuro al 100% !!
Non l'ho detto io!! Frase riportata!! ;)
-
Un computer sicuro è un computer spento...
-
Un computer sicuro è un computer spento...
Allora sai ;D
-
Un computer sicuro è un computer spento...
Allora sai ;D
8)
-
Un computer sicuro è un computer spento...
E poi non sempre.
Diciamo che un pc sicuro è un pc rotto :D
-
Beh certo se lasci attivo il wake on lan... :D
Un computer rotto non è sicuro, è inutile!!! :D
-
Infatti è sicuramente inutilizzabile da te e da altri ;D
-
Ciao ragazzi!Ho contattato il fornitore dello spazio e mi ha garantito che non sono passati dall'ftp o da PhpMyAdmin ma direttamente da Joomla!, inserendo degli script...voi ne sapete qualcosa di ciò?Io non credo sia possibile; uso Joomla! 1.0.11core e come sappiamo tutti e strasicuro...secondo voi è possibile fare tutto quello che hanno fatto solo bypassando Joomla!?cioè scrivere, rinominare, cancellare file?mah... ??? >:(
-
Bisognerebbe avere maggiori dettagli sui punti di ingresso.
-
Bisognerebbe avere maggiori dettagli sui punti di ingresso.
Certamente...guarda chissà perchè però non ricevo informazioni al riguardo dal fornitore nonostante le mie preghiere...tu che dici? mmmhhh ??? ;)
-
La cosa che mi stupisce è quanto il tuo sito sia preso di mira... non è che sbagli qualcosa tu?
Quoto...Quoto !!! il più delle volte siamo proprio noi stessi a commettere qualkosa senza saperlo...
A me è capitato editando da ftp un config.php con nvu in locale e poi rimettendolo online si era modificato senza io aver fatto modifiche...magari risalvandolo l'editor lo ha convertito con qualkosa... Grande notepad...
P.S. A proposito quali estenzioni conviene mettere in NVU per editare correttamente i file PHP ???
-
Ultime notizie...quoto direttamente la mail del fornitore del mio host...credo che forse bisognerebbe mettere questo topic come importante...cmq voi cosa ne pensate di quello che dice?
"Ma non è global il problema. IL problema è il safe mode, dovrebbe stare su ON, ma ogni volta che lo metto su ON, escono fuori una marea di problemi di utenti che hanno problemi a fare funzionare i propri script e questo soprattutto a causa di un Bug di Php, mai risolto. IL bug in questione è collegato alla funzione MkDir di Php, la quale a causa di questo Bug crea le
directory come Apache, e quindi le directory create da MkDir sono di proprietà di Apache e non dell'utente, così se Safe Mode è OFF, gli script riescono a funzionare lo stesso, ma se il Safe Mode è attivo (come dovrebbe essere), sorgono i problemi con tutti gli utenti che fanno uso della funzione MkDir di Php. E ovviamente con tutti gli script e cms, perchè quasi tutti usano la funzione, almeno per l'Installazione."