Joomla.it Forum
Non solo Joomla... => Sicurezza => : criscar 04 Jan 2013, 23:51:49
-
Salve, questa notte il simpaticone dal Brasile che si chiama Leandro ha attaccato (con successo) anche il sito del mio istituto www.icvittorioveneto2.it (http://www.ilmionido.com) e appare la seguente scritta:
Hackeado por HighTech Brazil HackTeam
No\One - CrazyDuck - Otrasher - L34NDR0
ha praticamente sostituito questo testo con il materiale della homepage. Le altre pagine sono ancora visibili. Il sito è su joomla 1.5.
Cosa posso fare, se è entrato adesso potrà farlo ancora, soprattutto, da dove passa? Segnala al moderatore (http://forum.joomla.it/index.php?action=reporttm;topic=178033.7;msg=804263) (http://forum.joomla.it/Themes/default/images/ip.gif) 93.144.126.254 (http://forum.joomla.it/index.php?action=helpadmin;help=see_member_ip)
-
che versione di joomla? 1.5.26 o inferiore? Quali estensioni hai installato? Qualcuna è stata indicata come vulnerabile? Perché copi pari pari i post degli altri utenti, ti accodi ai loro topic e poi ne apri uno tale e quale in una sezione che non c'entra nulla invece di aprire direttamente il tuo nella sezione dedicata?
-
Sostituiscono il file configuratio.php
Chissà se lo sostituiscono o lo scaricano perchè appunto nel file ci sono tutti i dati importanti!
-
ferro la tua teoria è inverosimile, perchè se così fosse il resto del sito non avrebbe continuato a funzionare...
-
Scusatemi per l'incompetenza a partecipare al vostro forum, mi sono da poco iscritta. Non ho avuto il tempo materiale di documentarmi in merito. Ho l'urgenza di risolvere il mio problema in quanto mi occupo del sito del mio istituto. Ho verificato nel ftp che è stato inserito un nuovo file xk.txt nell'indice con i dati che compaiono nella home page del sito e che sono stati aggiunti anche dei file nelle cartelle cache, index e tmp. secondo voi che posso fare?
-
il brasiliano che ha "bucato" il tuo sito è solo un burlone :) Cancella la pagina index.html che hai nella root e tutto tornerà a funzionare... il tuo sito infatti è ancora intatto, guarda tu stessa: http://www.icvittorioveneto2.it/index.php
Chiedi al provider di cambiare le credenziali di accesso ftp e spiegagli cosa è successo: qualcuno deve prendere delle misure di sicurezza sopratutto dal momento che si tratta di un sito di una pubblica amm.
Se è attivo, disabilita da configurazione globale il layer ftp (se presente) e cancella la password ftp se l'hai salvata
-
Nella root ftp in joomla non c'è scritta alcuna pagina. Entrando in indice ftp nella cartella httpdocs vedo la pagina index.htlm generata ieri dall'hacker ma non riesco a cancellarla. Come posso fare ad eliminarla?
Grazie dell'aiuto.
-
Grazie per l'aiuto datomi. Sono riuscita a cancellare il file index.htlm entrando con l'editor htlm di explorer. Ora è tutto sistemato , contatterò il provvider come da te suggeritomi per implementare la sicurezza.
Nuovamente ringrazio e buona giornata.
-
di niente, ma ricorda di inserire [RISOLTO] nel titolo del primo post, grazie
-
ferro la tua teoria è inverosimile, perchè se così fosse il resto del sito non avrebbe continuato a funzionare...
Caro Giovi, nel mio caso l'individuo ha modificato il file configuration.php.
Ripristinato, il sito web è tornato a funzionare.
http://www.2t-special.it
Saluti
-
ma, come hai potuto notare, non era questo il caso di criscar... infatti nel suo caso il resto del sito funzionava correttamente.
Bisogna prestare attenzione alle informazioni che danno gli utenti altrimenti si divaga senza dare un aiuto concreto a chi magari è nel panico... è utile che tu condivida la tua esperienza ma devi farlo anche nel modo più appropriato, altrimenti diventa un aiuto distruttivo.
-
Ok ho capito cosa intendi, io ho cercato di dire la mia di esperienza, non potevo
sapere le intenzioni dell'hackero e cioè che cambia "comportamento" ogni sito web che riesce a bucare.
Intanto ho visto che continua a modificarmi i files (in totale una decina tutti con estensione .php)
Ho provveduto alla sostituzione della passw sia per l'accesso FTP che per l'accesso al pannello di controllo.
Loading........
-
Solo per dire che ho ricevuto lo stesso tipo di attacco sul mio sito http://www.marcoiegre.it (http://www.marcoiegre.it) con il cambiamento del file configuration.php, ripristinato è tornato tutto a posto, cambiate anche pwd sia di joomla che FTP. Grazie a tutti per le informazioni.
-
ferro prova a sentire criscar in pvt, confrontatevi e vedete se il provider è lo stesso. Probabilmente è una falla del server
-
ok fatto ma come dire......già me lo immagino! ;D
-
Previsone sbagliata, gli hosting son differenti!
Invece ho letto che sul forum che altri utenti hanno avuto problemi analoghi
e il "buco" deriva da una falla di alcuni (o quanto meno uno in specifico) template!
-
si è vero, il template ja_purity nativo di Joomla 1.5 conteneva un bug risolto poi nella seconda versione del template ma purtroppo le cause possono essere svariate!
-
ok le cause possono essere molteplici, nel mio caso specifico vedo che il template esiste
ma non è quello di default! Quindi entrano ugualmente? ??? ? ::)
Intanto l'ho disinstallato......basta oppure devo rimuovere da ftp???
-
quando disinstalli cancelli anche i file quindi non server cancellare la cartella via ftp.
Un template è accessibile anche quando non è attivo, basta aggiungere la stringa per le anteprime delle posizioni al termine della url: ?template=ja_purity
-
ok grazie, ho verificato e in effetti nella cartella templates non c'è più.
-
Chiedo AIUTO, a seguito dell'attacco Hacker (Attacco da Brasile) della scorsa settimana, risolto il problema della non visualizzazione della homepage. Ora ho un ulteriore problema non riesco più a caricare file allegati e file di immagine. Non riesco a capire se dipende dal provvider che ha modificato qualche parametro o da altro. Ogni volta che tento di farlo mi esce questa scritta:
- Attenzione: Spostamento del file fallito!
- Errore. Non è possibile caricare il file.
Il sistema Joomla è l'1.5.Grazie
-
e cercando nel forum quell'errore?
-
ragazzi mi è successa la stessa cosa, sito hakerato, stesso messaggio...su filezilla mi sono accorta che mi avevano cancellato il file index.php; l'ho sostituito con uno nuovo e ora tt funziona ma quello che vorrei sapere è qusto: ho trovato vari files che non so cosa siano, generati dagli hakers, che faccio li cancello?
sono i seguenti...
xk.tht
ck.htm ( non so cosa sia ma c'è la solita frase dell'haker)
nella cartella temp ci sono 2 files: index.html/ck.htm ( si possono cancellare?)
nella cartella cache ci sono sempre questi 2 files nuovi o modificati index.html/ck.htm
nella cartella images c'è sempre un file ck.htm
la cartella stories me la segnala come modificata ma dentro tra i file non trovo nulla....
-
Purtroppo la sgra continua, anche a me hanno hackerato un altro sito web (è il secondo) e sono sempre i brasileri.
Io ho fatto (in questo particolare caso) cosi':
- Eliminato i files creati dai brasileri
- Sostituito i files e cartelle modificate dai brasileri con quelli salvati in precedenza
Joomla 1.5 aggiornato all'ultima versione, l'ultimo sito era orfano del template ja_purity nativo di Joomla 1.5
Questo per dire che non so da dove possano essere "passati"
-
hackerato anche il mio...localizzato su **** e fatto in Joomla 1.5.
Nel mio caso è bastato cancellare l'index creato dal burlone e ripristinare i due file index dal backup settimale, quindi ripristinare i permessi sui file.
Anzi per la precisione, all'inizio il sito dava Internal Error e solo ripristinando i permessi mi è comparsa la scritta hackerosa.....manco il loro lavoro sanno fare.
Bye.
edited by tt8: rimosso riferimento commerciale mascherato.
-
ferro se hai jce non aggiornato pare siano passati da quello...almeno per il mio
-
Solo per dire che ho ricevuto lo stesso tipo di attacco sul mio sito http://www.marcoiegre.it (http://www.marcoiegre.it) con il cambiamento del file configuration.php, ripristinato è tornato tutto a posto, cambiate anche pwd sia di joomla che FTP. Grazie a tutti per le informazioni.
Per la password ftp hai fatto richiesta al fornitore di hosting?....
Bye.
-
Per la password ftp hai fatto richiesta al fornitore di hosting?....
Bye.
Lo avevo disinstallato una quindicina di giorni fa, ma sono entrati ugualmente!
-
Scusate io ho lo stesso problema ma non ho risolto. Purtroppo il sito non lo fatto io la versione è 1.5.13
Ho cancellato xk.txt e ck.htm sulla root. Poi anche in images c'era xxu.php e poi un file clor13.gif
L'index.php lo cambiato e il configuration lo controllato e sta bene.
AIUTOOOOOOO per favore.
Hackeado por HighTech Brazil HackTeam
No\One - CrazyDuck - Otrasher
-
Scusa giggimix ma
1.5.13 :o
Non si capisce che aiuto chiedi.
Leggi il post in rilievo di questa stessa sezione del forum e metti in pratica i suggerimenti là scritti.
-
giggi se propio non hai un backup forse nel tuo caso c'è speranza: un utente oggi aveva il tuo stesso problema: gli ho fatto aggiornare joomla alla 1.5.26 e sostituire la index.php con quella del pacchetto di installazione della stessa versione. Prova anche tu, questo ovviamente non esclude che l'hacker possa aver modificato altre parti del codice
-
Ok grazie lo stesso HO RISOLTO era l'index.php
-
Me ne sono accorta giusto oggi :-[ stesso hacker brasiliano. ho cancellato i file maledetti solo che non riesco + ad entrare nel pannello di controllo e quindi non posso + aggiornare la versione di joomla.
Tra l'altro il mio backup settimanale è già stato infetto...
Qualche anima pia può aiutarmi? :'( Come posso ripristinare tutto??
grazie grazie
-
e propio non hai un backup forse nel tuo caso c'è speranza: un utente oggi aveva il tuo stesso problema: gli ho fatto aggiornare joomla alla 1.5.26 e sostituire la index.php con quella del pacchetto di installazione della stessa versione. Prova anche tu, questo ovviamente non esclude che l'hacker possa aver modificato altre parti del codice
Prova a seguire le indicazioni di Giovi
-
purtroppo x aggiornare la versione ho bisogno di entrare nel pannello di controllo... ma non riesco :-(
cmq grazie :)
-
purtroppo x aggiornare la versione ho bisogno di entrare nel pannello di controllo...
Dove l'hai letto questo? L'hai sentito a Studio Aperto?
-
l'hanno dello a Mistero, credo Adam Kadmon... :(
-
cavolino... ho beccato i comici del forum... che fortuna 8) voglia di fare saltami addosso eh? ;D
-
purtroppo x aggiornare la versione ho bisogno di entrare nel pannello di controllo... ma non riesco :-(
cmq grazie :)
Se fai una ricerca nel forum trovi le indicazioni per aggiornare senza passare dal pannell odi controllo.
Quindi via FTP, usando (ad esempio) Filezilla, puoi aggiornare e seguiore le info che Giovi ha scritto "sopra".
-
Ma la 1.5 si aggiorna solo con la sovrascrittura dei file: quando è uscito joomla 1.5 l'aggiornamento "automatico" tipico della 2.5 non era ancora stato inventato. L'ha detto pure Giacobbo su Rai 2, il che è tutto dire... :P
Stasera sono così carico e pieno di voglia di fare che ti linko pure la guida che potevi cercare da solo soletto con google ;)
http://wiki.joomla.it/index.php?title=Aggiornamento_da_una_versione_esistente_di_Joomla_1.5
-
Stasera sono così carico e pieno di voglia di fare che ti linko pure la guida che potevi cercare da solo soletto con google ;)
http://wiki.joomla.it/index.php?title=Aggiornamento_da_una_versione_esistente_di_Joomla_1.5 (http://wiki.joomla.it/index.php?title=Aggiornamento_da_una_versione_esistente_di_Joomla_1.5)
La troppa carica ha fatto si che non ti sei accorto che l'utente in realtà è unA utentA!
Alegher
-
Da cosa si deduce? Dal fatto che non guarda Mistero? :-X
Scherzi a parte, cerchiamo di fare fronte comune contro questi attacchi... non dategliela vinta: aggiornate sempre, prima ancora che accada l'irreparabile!
-
ehm... effettivamente sono "un'utenta" ::)
Cmq innanzitutto vi ringrazio x l'aiuto. Ho dovuto cancellare TUTTO il contenuto del sito perchè il backup settimanale era già infetto :P Ho installato joomla 2.5 ma non riesco + ad accedere al pannello di controllo (del sito). Qualcuno sa dirmi cosa posso fare? (sapendo che uso joomla da poco ;D )
Grazie e buona giornata
-
a questo punto apri un nuovo topic come tutti della sezione joomla 2.5 (non è che perché sei utentA il buon senso non vale più) e descrivi dettagliatamente il problema, così qui concentriamo solo gli argomenti sull'hacker brasiliano.. Ricorda che la versione attuale di joomla mentre scrivo è la 2.5.9 e non più la 2.5.8
Buona fortuna!
-
In realtà l'inaccessibilità al pannello di controllo è data dall'attacco del virus brasiliano ::) pensavo quindi di essere in tema... non volevo certo una via preferenziale solo perchè sono "un'utenta" ;) me ne guardo bn vista l'egemonia maschile nel forum ;D
cmq grazie e buona giornata a te.
-
Ho dovuto cancellare TUTTO il contenuto del sito perchè il backup settimanale era già infetto :P Ho installato joomla 2.5 ma non riesco + ad accedere al pannello di controllo (del sito)
Qui hai detto che hai installato di nuovo joomla, quindi dubito che il tuo problema derivi ancora dal quell'attacco..... ::)
-
Anche io sono stato vittima dell'attacco di questo simpaticone, ma i file inseriti dal simpaticone sono datati aprile 2013.
solo il file configuration.php risulta modificato oggi, ma sostituendolo il problema persite, come posso muovermi?
-
Ho avuto lo stesso problema a gennaio e l'ho risolto con le indicazioni presenti in questo forum.
In realtà, a distanza di mesi, mi sono accorto che non tutto era risolto in quanto il sito non mi caricava più le immagini dalla cartella stories. Sono andato a vedere dentro ed ho scoperto più di 200 file copiati e rinominati con estensione php... li ho cancellati uno ad uno e spero di aver risolto...
-
dubito che tu abbia risolto.
Se qualcuno entra nel sito e deposita dei file, vuol dire che può farlo in tutte le cartelle e può fare anche altro.
Tu adesso hai riparato la finestra rotta e non pensi alla porta/e di casa, di retro o del giardino ;)
-
e per barricarmi dentro casa blindando la porta che mi consigli di fare?
-
Non ti devi blindare, ma come minimo cambio le serrature ;)
leggi il post in rilievo in questa sezione, così potrai capire come muoverti.