Joomla.it Forum
Non solo Joomla... => Sicurezza => : yourdream 02 May 2014, 07:11:09
-
SAlve
Un sito da me costruito è stato hackerato ripetutamente da d3b x, premetto che è la rpima volta che sento codesto nome, ho aggioranto tutto e cambiato template ma sembra non funzionare ritrovando mi sull FTP la seguente immagine ganteng.gif.
Ho persino rinominato ID 62, ma ulteriore cosa strana è che dal sito continua a inviare spam ai clienti o arrivano questi messaggi
WARNING: bad headers - Header line longer than 998 characters: References:
Qualche riscontro GRazie
[allegato eliminato automaticamente dopo un anno]
-
Di che versione di joomla si tratta ?
-
sarebbe interessante implementare un sistema che prima di permetterti di fare una domanda ti suggerisca una serie di possibili argomenti da leggere... un po' come quando vuoi contattare l'assistenza di grandi servizi.
-
La versione di joomla è la 1.5.26, ma la mia domanda è semplicemente se qualcuno a sentito mai parlare di un hackers con questo nome d3b x. In ogni caso ho cercato di fare pulizia del sito dei file non di joomla, ma non è stato sufficiente o non completo. Insomma è ancora presente, non so come ma sembra avere un account invisibile.
-
Mi piaccio le persone che si svegliano bene la mattina, ovvio che non ho bisogno di assistenza specifica, ce l'ho la pago, era solo epr condividere l'esperienza, ma visto che non ce ne bisogno magari il forum potrebbe chiudere. Si sarebbe proprio bello avere un sistema che classifica i post per importanza, ma molto probabilmente a chi servirebbe il forum?
-
Non sono daccordo su quello che hai detto, sapere chi ti è entrato in casa non ti serve a niente. Se ti sono entrati in casa ripetutamente è possibile che tu non abbia fatto abbastanza per proteggerla.
-
sapere chi ti è entrato in casa non ti serve a niente
e se fosse come si dice, infedeltà dei propri dipendenti?
sospetto sempre di chi pubblica affermazioni simili a vantaggio della cosidetta "colpevolizzazione della vittima" ovviamente ti concedo tutta la buona fede possibile ed immaginabile, ma come potresti escluderlo senza fare le dovute ricerche?
magari fare ciascuno il proprio lavoro? (per inciso sti webmaster a volte pretendono di fare i tuttologi, un webmaster se c'è un attacco la prima cosa che dovrebbe dire è perchè e come è successo, in quale pagina approssimativamente, chi ovviamente in modo approssimativo ecc....
che poi a risolvere con un sistema linux (diciamo così) basta ricaricare le copie e questo lo sa fare pure un bambino.
-
sti webmaster a volte pretendono di fare i tuttologi
webmaster e non solo ;)
-
Insomma venendo al dunque a nessuno è capitato di sentire questo famelico hacker d3b x. Diciamo che è riuscito a modificare l'index.php inserendo codice e facendo visualizzare il classico messagino, "ma che bel sito webmaster..." Anche simpatico insomma. Poi cosparso per tutto il sito file di "spam", individuabili facilmente perchè completamente estranei a joomla. Questi facevano in modo di riindirizzare il sito a un sito di pubblicità.
Ora che fare, basterà passare alla 2.5. La cosa strana che il sito ha un hosting di sviluppo e li sembra funzionare tutto e senza nessun attacco.
-
Insomma venendo al dunque a nessuno è capitato di sentire questo famelico hacker d3b x.
..........
di solito quel tipo di personaggio agisce in base a delle valutazioni soggettive, per sapere chi è ti basterebbe cliccare di destro e fare una ricerca, ma di solito non imprimono una firma digitale, chiunque potrebbe usare il suo nic e il suo messaggio
ma questo non è un sito di investigatori privati, semmai di assistenza da parte di volontari come noialtri qui...
per capire come ha fatto dovresti fornirci tutte le credenziali di accesso e potrebbero non bastare nemmeno..
dalla versione 2.5 in poi joomla ha un sistema di rilevazione degli errori, li puoi vedere aprendo il file error.php che sta nella cartella logs
prova a leggere qualche traccia potrebbe averla lasciata li.
-
Grazie mille della risposta, la ricerca l'ho fatta e esiste addirittura su twitter un personaggio con questo nome, ma non credo sia lui. Comunque come specificato nel titolo questo è solo uno degli attacchi, prima avevo provveduto ad aeliminare migliaia di file stile htaccess con all'interno un rederict credo. ecco i lcodice
*******
edit by mod: eliminato codice
ovviamente prosegue e ovviamente i file erano in tutte le cartelle.
Proverò a passare alla 2.5 anche se è presente virtuemart e non mi sono ancora informato come sarà passare alla 2.5 dalla 1.5. Provo e vi facci osapere se riesco a debellare l'ennesimo hacker...
Ma possibile che la colpa sia tutta di joomla, oppure centra anche il provider, so che non l'ammetteranno mai, ma è strano che sul sito di sviluppo nessuno sia entrato e appena ho messo il backup nuovo tak subito defacciato.
-
il ciclo di sviluppo e di aggiornamento di J1.5 è finito nel 2012 (settembre mi pare); di chi la colpa se ti hanno bucato un sito che non aggiorni da un anno e mezzo? del provider?
e dai ragazzi!
ps: anche VM per J1.5 non è più aggiornato ne sviluppato...
-
quanto al nome dell'hacker: sarà un ragazzino che ha copiato uno script da un sito di sicurezza e lo ha fatto girare, prendendo i siti dai motori di ricerca (capito perché non il sito di test?) finché non ha trovato un sito non aggiornato né messo in sicurezza con firewalls ids o simili.
ciao
marco
-
vi facci osapere se riesco a debellare l'ennesimo hacker...
per quanto ne so potresti essere tu stesso, inoltre così (lanciando sfide in pubblico) lo inviti a nozze...
-
Allora mi sembra che state dicendo che i milioni di siti in joomla 1.5 fanno aggiornati alla 2.5. Interessante io pensavo che nonostatnte sia finito lo sviluppo un sito joomla 1.5.26 potesse continuare ad esistere senza tutti questi attacchi. Evidentemente mi sbagliavo. Comunque è interessante l'idea che sia un robot e non una persona fisica, ciò vuol dire che joomla 1.5.26 con tempalte ja_purity II è bucabile in ogni dove. Perciò direi che siamo arrivati alla conclusione. Ovviamente spero che qualcuno mi contraddice...
-
si è cosi
joomla come il php sono mondi in continua espansione
se non stai dietro agli aggiornanti prima o poi trovano la falla e per via di tanti stupidi tu ti trovi "rovinato"
Benvenuto nel open source!! :D
-
Ok è sicuramente un problema del sito, ma fatte tutte le dovute modifiche e cioè:
- pulito il sito da file sospetti
- eliminato user con id 62
- utilizzo di solo ja_purity II (con eliminazioni altri template)
- Cambio password di super user e FTP
Si conclude che non è servito a niente e l'unica soluzione è passare alla 2.5.
Grazie
-
Comunque non credo sia un problema di open source, se un hacker ti vuole attaccare dubito che anche se hai un sito ad hoc non ti serva a granchè o mi sbaglio...
-
Se non ripari la falla hai voglia di svuotare l'acqua
-
un sito joomla 1.5.26 potesse continuare ad esistere
ovviamente si questo non è in discussione..
ma la sicurezza di un sito è una questione di diversi comportamenti, sempre se parliamo di cose reali, se poi vogliamo ascoltare il marketing o la pubblicità è cosa diversa.
....
solo poco fa ho bannato con htaccess un altro ip con il quale qualcuno dalla russia (ma è un dato falso) si piglia la briga di colpire ogni 3 minuti un mio sito..
sto pensando di studiare cosa significa una certa caratteristica enunciata da alcuni server perchè non è solo quel sito ad essere impestato di spammer (sono spammer e non acker)
insomma ci sto lavorano e sono siti in 2.5 e pure aggiornati....
ma pure gli acher di m. lavorano e quelli sono solo di un tipo, poi ci sono le false registrazioni, gli utenti veri ma che sono falsi perchè in realtà sono spammer .....
e così via..
il tuo acher è l'ultimo delle insidie vere--
-
Comunque non credo sia un problema di open source, se un hacker ti vuole attaccare dubito che anche se hai un sito ad hoc non ti serva a granchè o mi sbaglio...
si hai ragione.. ma il joomla/php ha i codici sorgenti ha disposizione di tutti quindi molto piu facile "entrare" di un applicazione che non li ha
-
si hai ragione.. ma il joomla/php ha i codici sorgenti ha disposizione di tutti quindi molto piu facile "entrare" di un applicazione che non li ha
non ce nessuna logica in quello che scrivi, anche se molti pensano così.
usare un codice criptato potrebbe significare che entrano, escono e neanche te ne accorgi.
-
la mia osservazione era SOLO che se sono liberi anche un "ragazzino" c'è la fa.. basta smanettare un po!
-
usare un codice criptato potrebbe significare che entrano, escono e neanche te ne accorgi.
un lammer se entra lascia sempre qualcosa.. entrare ed uscire senza fare nulla non è quello che vogliono
-
si.. e poi il ragazzino con la playstation piglia il controllo dei missili nucleari e così scatena la soluzione finale...
ma noi ci salveremo sull'enterprise insieme a spock oppure ci salva giudecca con il falcon. ;D ;D
-
Ecco, in realtà la prima volta probabilmente erano spammer, ma le seguenti erano hacker visto che lo lasciavano scritto e anche l'immagine gif col loro nome...
Poi se midici che anche con joomla 2.5 aggiornato si hanno sempre problemi diventa dura...
L'ultima notizia dal provider è che nella cartella TMP erano presenti file malevoli ma sulla mia tmp locale non ce ne sono, deduco che è il sito hackerato, joomla 1.5.26 non è affidabile.
-
hai un link al sito?
-
Certo ma adesso è offline, ti mando in privato il dev se vuoi
-
un po' di risposte in ordine sparso...
. una volta che un hacker ha avuto accesso al sito cambiare la password utente e quella ftp sono le operazioni meno utili possibili: difficilmente è entrato da lì (se non hai usato admin - admin).
. gli hacker non vogliono far sapere che ti hanno bucato il sito, ma rivenderlo come zombie. i ragazzini sì, i ragazzini non sanno fare nulla a parte copiare gli script dai security focus per fare vedere alla mamma quanto sono fighi
. un sito non aggiornato da più di un anno non è sicuro, basta leggere un qualsiasi security focus. credevi che fosse sicuro? ti sbagliavi, ma sei in buona compagnia. J1.5.26 non è stable, è solo abbandonato e pure la versione di php su cui gira non è più messa in sicurezza.
. più che joomla mi preoccuperei delle varie estensioni (VM in primis). JCE, l'editor più diffuso dopo quello di default, docet.
. bannare un ip? a che serve, il 98% degli ip sono dinamici.
. security throught obscurity is not security, ma è innegabile che in un open source è decisamente più semplice trovare errori di programmazione (codice criptato? e come lo esegui se è criptato, e dai!)
la sicurezza richiede competenza, punto e basta.
ciao,
marco
-
Beh intanto grazie per tutte queste importantissimi informazioni. Direi che la sicurezza è un mondo da curare davvero tanto e nel mio caso mi toccherà affidarmi prima o poi a qualche professionista. Infatti una volta ripristinato il sito joomla 1.5.26, tre minuti ed è stato di nuovo hackerato con una bel trojan messo sull'FTP e una bella paginetta anche graficamente accattivante con su che il sito è devastato. Addirittura mancavano cartelle. Insomma credo che sia ora di passare a joomla 2.5, la mia domanda è sarà sicuro o appena smettono di nuovo nel trattarlo diventarà non sicuro? Meglio la 2.5 o a sto punto la 3.5. Insomma tutti i 2.5 dovranno passare alla 3.5? A chi devo rivolgermi per la migliore sicurezza possibile, perchè mi sa che l'atteggiamento forse non arriva a prevedere tutti gli attacchi...
-
La prima cosa è rimanere informati e seguire il sito mantenendoli aggiornato. Ogni paia scarpe nuove col tempo diventano scarponi, lo stesso succederà per la 2.5, per. la 3.3, ecc. Tu non sei informato ed hai lasciato per troppo tempo il sito senza curarlo, non sei informato perché non leggi, e non sei ancora a conoscenza del nuovo ciclo di versioni che è cambiato e che la 3.5 è lungi dal venire. Ok forse non hai tempo per dedicarti alla cura del sito, allora affidati a chi lo fa per mestiere e non dare la colpa al cms, al provider o a chi altri.
-
Che commento aggressivo, io purtroppo i siti che mi permettono di essere per così dire curati sono tutti o quasi tutti aggiornati. Questo è stato il caso che ha voluto che si interrompesse il rapporto con il cliente che non ha aggiornato il nulla cosmico e si ripresenta dicendo " Toh guarda il sito è hackerato". Ora io potevo anche lasciar perdere, ma siccome sono buono ho cercato di trovare una soluzione al problema e ahime di difficile soluzione. Non i sembra di aver detto nulla sul provider o sul CMS era solo domande che mi frullano per la testa, che credo che chiunque a diritto di farsele. Semplicemente se un sito fatto in joomla 1.5.26 è obsoleto pensavo non significasse bucabile, ma probabilmente avete ragione che il problema potebbe essere da altre parti magari è stato il computer del cliente ad essere bucato, ma a certe conclusioni ci devo pure arrivare, condividendo e discutendo con le persone.
-
Ovvio che se anche curando il sito mi dovrei trovare ad essere bucato magari gradirei sapere a chi affidarmi per la sicurezza... Purtroppo le mie ricerche non hanno dato risposte e ho chiesto aiuto al forum... Mea culpa
-
E infatti io discuto non aggredisco, ho detto il mio punto di vista e dalle tue ultime precisazioni condidera quello che ho detto rivolte al cliente, ma sempre senza aggressioni.
-
Continui a chiederti le stesse cose ma se leggi bene le risposte di tutti dovresti aver capito l'atteggiamento da seguire.
-
;) Già ho capito, effettivamente siete stati chiari, sbagliato io a occuparmene non dovevo rispondere alla chiaamta di soccorso pensando che era possibile trovare una soluzione :)
-
Un ultima domanda giusto epr capire questi hacker, se ho capito bene joomla 1.5 è bucabile il che significa che un individuo o robot può entrare con degli script e delle azioni. Ok fin quì ci siamo. La mia domanda è se entra via joomla cosa è in grado di fare, perchè a me hanno cancellato addirittura cartelle, non solo il file index dove mi hanno mostrato il loro capolavoro. insomma è possibile anche non avendo le credenziali per accedere all'FTP e agendo solo da CMS. GRazie
-
Giusto per informazione al passaggio a joomla 2.5, nessuno da qualche settimana è più entrato e fatto danni. Ora mi chiedo da dicembre dovrò passare all'ultima versione di joomla per essere sicuro, e mi toccherà ricostruire il sito nuovamente o esiste un modo per passare direttamente alla 3.5.
-
http://www.joomla.it/notizie/7485-guida-all-aggiornamento-dalla-versione-2-5-alla-3-di-joomla.html
-
Ora mi chiedo da dicembre dovrò passare all'ultima versione di joomla per essere sicuro,
perchè fare ora quello che potresti fare domani?
-
Ok perfetto, insomma mi dite che sarebbe meglio rifare il sito in joomla 3.3 che sarà più facile passare alla 3.5., ma Virtuemart? Non so se il componente Virtuemart sarà così velocemente reperibile dopo il rilascio della 3.5, e ancora si aspetta la versione per joomla 3. Speriamo che joomla 2.5 non sia così bucabile come joomla 1.5.
-
Aggiornare non rifare ma aggiornare alla 3.3.0.La 3.5 è aldilà dal venire, aggiorna quando vuoi da ora fino a dicembre ma scordati per il momento la 3.5. Comunque è scritto tutto nell'articolo come e quali considerazioni fare.
-
VM per J3.x? mi sa che ci sarà da aspettare, è uscita da poco la stable per J2.5... fatti due conti.
ciao,
marco
-
Ok grazie, a sto punto dipende tutto da Virtuemart, aspetterò la nuova versione per joomla 3.x e poi si aggiorna.