Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : zalexo 11 Sep 2007, 20:17:52
-
Salve ragazzi sono nella cacca, mi hanno forato il sito. Purtroppo a sicurezza sono zero e non so come risolvere.
Un hacker è entrato su zalexo.it e mi ha modificato la index.php e forse altro, dichiarando il suo attacco.
Poi joomlahost mi ha ripristinato il sito e ho eliminato la componente che dava dei problemi di sicurezza, sh404sef.
Poi però lui è entrato di nuovo.
Ho ripristinato e cambiato l'accesso via ftp.
Ma nulla da fare, joomlahost mi ha chiuso il sito e dato il backup del sito dicendo che devono risolvermi il problema di sicurezza in locale.
Visto la mia scarsa capacità, vi chiedo se qualcuno anche a pagamento può sistemarmi la cosa e trovarmi i problemi di sicurezza.
grazie
-
Ma hai una idea del tipo di intrusione?
-
Allora prima erano entrati da sh404sef e mi avevano modificato la home, lo hanno fatto due volte. Il sito dava una semplice pagina bianca con scritto che avevano toccato la tale riga, 100 se ricorso bene si sef404.php.
Sono andato nel sito di sh404sef e anche il loro era stato forato allo stesso modo.
Pagina bianca con la stessa dicitura.
Poi dopo aver eliminato il componente, non entravano più in quel modo, ma modificavano la index.php inserendo in fondo al sito due piccole gif linkate al loro sito.
Così ho fatto modificare la pass ftp da joomlahost.
Sembrava andasse tutto bene ma poi joomlahost mi ha chiuso il sito perchè dicevano che erano entrati ancora e amndavano in overload tutto il server.
boh...
-
Ok per il componente, ma sono riusciti ad entrare via ftp prima e dopo che fosse cambiata la password di accesso?
-
joomlahost dice di si, io non ho visto perchè mi hanno disabilitato tutto.
guarda cosa dicono sul sito di sh:
http://extensions.siliana.net/en/2007090865/General/Support-site-unavailable-returns.html
hanno forato anche il loro
-
Dopo che ho cambiato la pass, come cacchio hanno fatto a entrare con nessun componente a rischio su?
Sembra impossibile, l'host non sa dirmi niente e sicuramente fino a domani non li trovo.
Che dite ragazzi?
-
Credo abbiano lasciato una backdoor da qualche parte...
-
ma è colpa i joomla oppure dei server???
-
Boh, chi lo sa, ora sono cavoli miei. Sto cercando con un paio di amici di sistemare le cose.
Speriamo dai...
-
Credo abbiano lasciato una backdoor da qualche parte...
Si ma dovrebbe essere noto all'host in questo caso
-
L'host non mi ha detto nulla, quindi non so.
Però mi sembra strano che dopo aver cambiato la pass dell'ftp (ma non del plesk, mi hanno lasciato la vecchia dell'ftp) entrino ancora senza problemi.
Ma l'host non riesce a vedere dove è la vunnerabilità?
cmq ora sto provando a rifare il sito da capo con un'installazione vergine e poi pianopiano dumpare il database.
adesso vediamo come fare....
speriamo..
cmq penso che fino a domani l'host non mi possa rispondere.
ciao
-
leggendo sul sito di sistiana, sembra che sniffino la pass ftp, fai il secure login ftp.
ciao
jk
-
Il problema sembra più grave del normale.
"Forse" si sono impossessati anche dei DNS del sito, non so cosa dirvi, sembra che anche joomlahost non sia in possesso del sito.
Vi spiego perchè:
Se entrate in una pagina qualsiasi del sito:
per es. http://www.zalexo.it/contatto-consulenza.html
anche se joomla host ha chiuso il sito questa url, e tutte le altre a parte la index sono raggiungibili, e sono presenti i link al sito del nostro "amico".
Di conseguenza anche con il sito disabilitato le pagine interne sono raggiungibili.
Mi stavo chiedendo se il problema non dipenda dai DNS visto che tutto il dominio sembra essere sotto controllo dell'"amico".
Ora sto provando a ripristinare il sito da un'altra parte, utilizzando database e file, vedremo.
Ma prima di tutto voglio capire cosa succede alle pagine del mio sito che ora sono sotto il controllo dell'"amico".
-
pingando www.zalexo.it l'indirizzo ip è 81.31.151.36 sempre di proprietà coltengine-mnt, allora perchè ieri andava giù il .19 ?, tu eri sul .19 fino a ieri?, se le pagine visualizzate sono da "altra parte", controllate dall'amico, io non ci andrei sicuramente e neanche ci sono andato, chissà che codice maligno ha installato in quelle pagine...
ciao
da un amareggiato jk
-
le tue pagine ributtano verso un link : siyamiozkan.com.tr ect ect
nei puntini in alto a sx ci sono i link al sito e al forum di chi probabilmente ha bucato.
parlando con un collega probabilmente hanno inserito un redirect che viene caricato prima della index.php verifica o fai verificare, i dns sono a posto risultano sempre alla colt e su server .36
-
Sembra che parta una applet in java.
-
L'host non mi ha detto nulla, quindi non so.
Però mi sembra strano che dopo aver cambiato la pass dell'ftp (ma non del plesk, mi hanno lasciato la vecchia dell'ftp) entrino ancora senza problemi.
Ma l'host non riesce a vedere dove è la vunnerabilità?
cmq ora sto provando a rifare il sito da capo con un'installazione vergine e poi pianopiano dumpare il database.
adesso vediamo come fare....
speriamo..
cmq penso che fino a domani l'host non mi possa rispondere.
ciao
sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site ?
-
Sembra che parta una applet in java.
Purtroppo il sito non è ancora sicuro, immagino che joomlahost stia lavorando, non so. Non ho avuto risposta.
cmq non provate ad entrare nel mio sito, mi dispiace per tutti i miei utenti, parte un applet che ti incasina tutto il pc.
Ho provato dall'ufficio e dopo che firewall e antivirus suonavano come campane a festa ho dovuto staccare perchè tutto si era inchiodato.
Quindi non provate, putroppo il sito è ancora sotto controllo del nostro "amico".
Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....
Ora il sito è vuoto.
Boh, vi terrò aggiornati.
-
Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....
immagino che quelli di joomlahost non hanno tempo per guardare i log del tuo sito.. forse pagandoli... ;-))
-
Gli ho chiesto se a pagamento potessere darmi una mano, ma probabilmente hanno da fare e mi hanno segnalato questo forum per risolvere il mio problema.
Ora sto rifacendo tutto il sito da un'altra parte, per stare tranquillo.
Vediamo, cmq il backup dovrebbe essere a posto.
-
sempre che non sia presente qualche schifezza sul server....
-
sempre che non sia presente qualche schifezza sul server....
Infatti questa è la mia preoccupazione, gli ho scritto per segnalargli il problema, immagino che lo staff stia lavorando per rendere sicuro il server e darmi la possibilità di rimettere online tutto.
boh...
ciao
-
comunque stamani ho vistato il tuo sito, problemi non ne ho avuti linux aiuta.... ;)
-
Da quello che ho visto assieme a Zalexo hanno eseguito un defacement, riscrivendo le pagine index.php e global.php con un redirect verso il sito del simpatico lamer.
Credo, però, che sia piuttosto improbabile che si sia impadronito dei DNS, come dimostrato dal ping.
Il fatto, comunque, è che il tizio è piuttosto bravo: nonostante il cambio di pass dell'ftp, riesce sempre a bucare il sito.
A questo punto, a meno di elementi soprannaturali, le cause non possono essere molte:
1)una backdoor da qualche parte nel server (facilmente verificabile dai log)
2)una backdoor da qualche parte nel backup (facilmente verificabile dai log)
3)sniff della password ftp in qualche maniera (zalexo, non è che hai un trojan nel pc?)
4)sql injection su qualche componente.
Io farei così: reinstallerei il backup e il db, chiuderei permessi su file e cartelle e starei un attimo a vedere cosa accade.
Se il tizio lo viola di nuovo allora non c'è altra storia che armarsi di pazienza e leggere i log. Punto.
-
i dns sono ok basta andare a vedere http://www.nic.it/cgi-bin/Whois/whois.cgi (http://www.nic.it/cgi-bin/Whois/whois.cgi)
il problema è che secondo me han lasciato qualcosa sul server perchè se ha già rispalmato un backup via ftp e il db non ci sono altre operazioni che l'utente possa fare,considerando che non ha i log....
-
i dns sono ok basta andare a vedere http://www.nic.it/cgi-bin/Whois/whois.cgi (http://www.nic.it/cgi-bin/Whois/whois.cgi)
giusto! ;)
il problema è che secondo me han lasciato qualcosa sul server perchè se ha già rispalmato un backup via ftp e il db non ci sono altre operazioni che l'utente possa fare,considerando che non ha i log....
Beh comunque può anche darsi che non sia colpa del server: se il tizio ha trovato un baco in qualche componente e si serve sempre dello stesso o ha lasciato nel backup (che è molto recente) una backdoor, passa sempre di lì.
Per scoprirlo si possono esaminare i log.
-
che nessuna ha tranne l'hosting.... ;D
-
Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....
immagino che quelli di joomlahost non hanno tempo per guardare i log del tuo sito.. forse pagandoli... ;-))
Dovrebbero darli di default quale pagare
se è unico modo per capire da dove arriva l'intrusione
ne va anche degli altri siti ospitati
-
Il mio pc è pulito.
C'è Vista, con antivirus e firewall.
Io capisco che il problema sia nel log, ma cacchio un mio dominio, intestato a me è sotto le mani di questa persona, backup o non backup questo non cambia visto che il sito è vuoto e le pagine continuano ad essere indirizzate al suo sito.
Quindi ora joomlahost deve mettermi in sicurezza il server, e solo allora potrò ricaricare su la copia del sito che sto rifacendo da un'altra parte.
Io sto già perdendo troppe ore di lavoro, sonno eccc...
-
oddio...vista lo reputo uno dei peggio SO usciti.. comunque spero che presto trovino il problema.
-
oddio...vista lo reputo uno dei peggio SO usciti.. comunque spero che presto trovino il problema.
sopratutto meglio non fidarsi di firewall già installati.
-
cmq sto provando a ripulire tutto il pc.
non posso fare altro visto che nessuno mi risponde e non mi sanno dire nulla.
-
cmq sto provando a ripulire tutto il pc.
non posso fare altro visto che nessuno mi risponde e non mi sanno dire nulla.
questo è grave, è comprensibile che un cliente non in grado di capire dove sta il problema infatti credo sia compito dell'hosting intervenire, soprattutto perchè a rischio c'è la stabilità dell'intero server colpito.
Confido comunque nella capacità dei tecnici dell'hosting, io per ora mi ci sono trovato bene.
-
Anche io non posso lamentarmi, ci stanno lavorando.
Però non riesco a farmi dire nel log da dove sono entrati.
-
sempre che non sia presente qualche schifezza sul server....
sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site ??? :)
-
sempre che non sia presente qualche schifezza sul server....
sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site ??? :)
nel messaggio in homepage del progetto riporta: Hi all,
This site has been unavailable for the last few hours, again! My hoster, Bluehost, has suspended my account, as they have detected, again, "phishing" sites activity from my webspace. This time I had access to the FTP logs, and I realized hackers had full FTP access, meaning they knew my password (which obviously is not available on the site)!
It pleased me, sort of, as it means Joomla and Mediawiki are not involved in the security breach. Bluehost suggested that my password could have been "sniffed" from the outside. Kinda difficult to swallow, as I had changed it after the first episode. Anyway, I'll be using Secure FTP from now on, so I should be pretty safe.
Hopefullly, I am through with this. Coupled with my changing of programming environnment, sh404SEF has not evolved during the last week, while there is still much to do!
Cheers!
-
Si, eravamo a conoscenza di quel messaggio;ma non ci aiuta granchè; ci dice solo che al tipo hanno sniffato la pass ftp ma non ci dà nessun indizio in merito a quanto accaduto a zalexo.
-
veramente era in risposta a chi chiedeva se la versione sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site
ora che ci penso se sono riusciti a sniffare la passw ftp sul server c'è il rischio di uno sniffer installato lato server tanto per cominciare...con i danni che ne derivano.
:-[ :-\
-
veramente era in risposta a chi chiedeva se la versione sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site
Si si, infatti ;) Dal messaggio non si evince, ma Zalexo mi diceva che i lamer hanno dichiarato di essere passati di lì,sfruttando un bug... non saprei...la situazione non è ancora molto chiara.
ora che ci penso se sono riusciti a sniffare la passw ftp sul server c'è il rischio di uno sniffer installato lato server tanto per cominciare...con i danni che ne derivano.
:-[ :-\
Si è possibile...ma io sono più propenso a pensare ad un defacement tramite sql injection, magari proprio da sh404sef... ???
-
Aggiornamento.
Nota lasciata dai lamer nel defacement:
Are we debugging???
Killed at line 106 in sef404.php: HEADERS ALREADY SENT (200)
URL=http://www.zalexo.itoption=com_content&task=view&id=46&Itemid=66:
OPTION=com_content:
A quanto sembra hanno sfruttato una vulnerabilità di sh404sef per fare dell'sql injection ed effettuare il defacement inserendo script in "index.php" e "globals.php". :-\
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
che brava gente.... >:( >:(
io per sicurezza ho disattivato SH404
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
Si, effettivamente lasciar traccia dell'exploit è in linea con l'etica hacker.
Ora sta a vedere se effettivamente è hanno fatto così e lo sviluppatore si metterà all'opera per patcharlo.
Per ora io non abbandono questo componente;è il migliore tra quelli di url rewriting gratuiti; i vecchi metodi di prevenzione sono i migliori: backup e chiusura dei permessi di scrittura su file e cartelle nevralgici.
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
che brava gente.... >:( >:(
io per sicurezza ho disattivato SH404
potevano non scrivere nulla e non far capire dove era il buco e prima di capirlo....ce ne passa....di acqua sotto i ponti e di siti tirati giù, è un modo alquanto brutale di dire bimbi sveglia qui c'è il buco!
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
che brava gente.... >:( >:(
io per sicurezza ho disattivato SH404
potevano non scrivere nulla e non far capire dove era il buco e prima di capirlo....ce ne passa....di acqua sotto i ponti e di siti tirati giù, è un modo alquanto brutale di dire bimbi sveglia qui c'è il buco!
Capisco, ma cazzo non potevano mandare una mail a quelli di sh invece di mandarmi a puttane il sito?
Cazzhio gli offrivo una birra se melo dicevano....
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
che brava gente.... >:( >:(
io per sicurezza ho disattivato SH404
potevano non scrivere nulla e non far capire dove era il buco e prima di capirlo....ce ne passa....di acqua sotto i ponti e di siti tirati giù, è un modo alquanto brutale di dire bimbi sveglia qui c'è il buco!
Capisco, ma cazzo non potevano mandare una mail a quelli di sh invece di mandarmi a puttane il sito?
Cazzhio gli offrivo una birra se melo dicevano....
pertanto il componente soffre di una falla di sicurezza.
hai già avvisato gli sviluppatori di http://extensions.siliana.net/ in merito fornendo un report della situazione e la parte dei log incriminata?
forse riescono a sistemare in tempi brevi con la documentazione dell'accaduto e possono patchare il componente :-[
ciao
-
Il mio pc è pulito.
C'è Vista, con antivirus e firewall.
Tralasciamo Vista (che reputo non ancora utilizzabile per sistemi di produzione...)...
Ma che Antivirus e Firewall hai installato sul PC?
(Eventualmente, prima di rispondere Norton, è meglio se li disinstalli e passi ad altro ;-P)
-
è vietato nominare prodotti a pagamento, sia vista che lo stai denigrando e idem norton ancora di più.
personalmente il secondo da te nominato lo installo dalle versioni 0.0.0.1 e ne avrò tuttora 500 di macchine che lo stanno utilizzando proficuamente. il problema è che la gente non sa come configurarlo correttamente e allora dice che non funziona, tutto qui.
ciao
jk
-
Acc. scusa... ho scordato la regola del forum :-[
Riguardo Vista... dire la verità (che è inoltre una opinione abbastanza diffusa nel settore IT) non credo si possa definire "denigrazione".
Se dico che XP era inutilizzabile e/o insicuro prima dell'uscita del SP2 non è che lo sto denigrando... è la pura verità ;)
Se devo vendere un PC ad un cliente che deve usare il PC per motivi "Professionali", ovviamente gli Sconsiglio Vista (se poi lo vuole a tutti costi lo accontento). Se è un cliente "Domestico"... faccio la stessa cosa, anche se insisto di meno.
Chi poi NON ha seguito la mia indicazione (magari comprando il PC negli Hypermercati insieme alla Frutta, Verdura etc) si è trovato male per i diversi problemi che ha ancora vista. (Speriamo che miglio con il SP1)
Riguardo al Norton (e con questo smetto di citare prodotti commerciali ;D )... si lo stavo denigrando, è più forte di me.
Posso portare però dalla mia la scusante che, configurato bene o non configurato per niente, sempre lui rimane. :D
A parte le versioni corporate (che ho potuto provare ben poco, ma che sento dire da altre persone che vanno leggermente meglio delle altre), oltre alla intollerabile pensantezza, al fatto che si aggiorna SOLO ogni sette giorni (una enormità... anche se mi pare che l'ultima versione abbia cambiato "politica") ed ad altre tante piccole cose, i clienti che hanno (o meglio avevano) l'AV "innominato" facevo mediamente 2 o 3 assistenza all'anno, + il rinnovo.
Con un altro AV (che non nomino per niente) del quale attualmente ho poco più di 110 licenze (nulla in confronto alle tue 500... ma per ora mi accontento ;) ) che rinnovo annualmente ai vari clienti (tra singole e multilicenze).
Per quanto riguarda i problemi, sono praticamente assenti, o perlomeno nulla che non si possa risolvere con un "disinstalla" "riavvia" "reinstalla" "riavvia" e "aggiorna" Tempo stimato Max 5-10 minuti. La stessa cosa con Nor... em l'altro sono quasi 10 solo per disinstallarlo (se poi è una Internet Security non ne parliamo...)
In genere cmq i clienti li sento solo per il rinnovo (almeno per quanto riguarda i problemi che possono essere legati all'AV). :-)
-
sono all'80% d'accordo con te, ma non è questa la sede per discuterne, e me ne dispiace, visto che avevo trovato un interlocutore col quale è un piacere dialogare
quello che manca in questo forum IMHO, (visto che di informatica trattiamo), è una sezione tecnica HW e SW (e FW e MW) che permetta di parlare + o - liberamente di queste cose...
ciao
jk
-
sono all'80% d'accordo con te, ma non è questa la sede per discuterne, e me ne dispiace, visto che avevo trovato un interlocutore col quale è un piacere dialogare
quello che manca in questo forum IMHO, (visto che di informatica trattiamo), è una sezione tecnica HW e SW (e FW e MW) che permetta di parlare + o - liberamente di queste cose...
ciao
jk
Non sono moderatore di questa sezione, cmq cerchiamo di rimanere in linea con la discussione.
Allora faccio un bel repilogo su come ho risolto il problema, sembra che ora funzioni tutto.
Allora, alla fine ho chiesto a joomla host di resettarmi completamente lo spazio, il plesk, i db e anche il porco.... ;-)
Appena fatto il reset ho uppato tutto, pastrocchiato un bel pò e finalmente ora è tutto online.
Per sicurezza ho eliminato tutti i componenti a riskio.
Ho installato una componente a pagamento per le url.
Adesso sembra tutto stabile, ho dovuto cambiare un pò la struttura per ottimizzarlo per le nuovi componenti.
Mi scuso con tutti gli utenti che non hanno potuto scaricare la mia guida o partecipare al forum in questi giorni.
Devo però spendere una parola di elogio e ringraziamento a due amici, boBigHorus e goaction, mitici. Mi hanno dato una mano a risolvere il problema con un appoggio tecnico e morale.
GRAZIE RAGAZZI...
Se passate qua in romagna cappelletti e patacca la pago io.... ;-)
Un saluto
-
...
Non sono moderatore di questa sezione, cmq cerchiamo di rimanere in linea con la discussione.
...
Come Global Moderator puoi moderare tutto il forum
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
Si, effettivamente lasciar traccia dell'exploit è in linea con l'etica hacker.
Ora sta a vedere se effettivamente è hanno fatto così e lo sviluppatore si metterà all'opera per patcharlo.
Per ora io non abbandono questo componente;è il migliore tra quelli di url rewriting gratuiti; i vecchi metodi di prevenzione sono i migliori: backup e chiusura dei permessi di scrittura su file e cartelle nevralgici.
scusa big.. posso chiederti alcune cose? chiaramente domande rivolte anche agli altri..
che file e cartelle consigli di chiudere per avere piu sicurezza? e chiusura cosa vuol dire?
attualmente il sistema per default setta i permessi per le cartelle a 755 (777 per quelle che devono essere scritte) e 644 per i file (666 per i configuration.php). E consigliabile cambiare qualcosa?
Ciao e grazie
-
sono all'80% d'accordo con te, ma non è questa la sede per discuterne, e me ne dispiace, visto che avevo trovato un interlocutore col quale è un piacere dialogare
quello che manca in questo forum IMHO, (visto che di informatica trattiamo), è una sezione tecnica HW e SW (e FW e MW) che permetta di parlare + o - liberamente di queste cose...
ciao
jk
Non sono moderatore di questa sezione, cmq cerchiamo di rimanere in linea con la discussione.
Allora faccio un bel repilogo su come ho risolto il problema, sembra che ora funzioni tutto.
Allora, alla fine ho chiesto a joomla host di resettarmi completamente lo spazio, il plesk, i db e anche il porco.... ;-)
Appena fatto il reset ho uppato tutto, pastrocchiato un bel pò e finalmente ora è tutto online.
Per sicurezza ho eliminato tutti i componenti a riskio.
Ho installato una componente a pagamento per le url.
Adesso sembra tutto stabile, ho dovuto cambiare un pò la struttura per ottimizzarlo per le nuovi componenti.
Mi scuso con tutti gli utenti che non hanno potuto scaricare la mia guida o partecipare al forum in questi giorni.
Devo però spendere una parola di elogio e ringraziamento a due amici, boBigHorus e goaction, mitici. Mi hanno dato una mano a risolvere il problema con un appoggio tecnico e morale.
GRAZIE RAGAZZI...
Se passate qua in romagna cappelletti e patacca la pago io.... ;-)
Un saluto
^_^ per sicurezza hai fatto benissimo a "brasare" tutto in quanto il rischio di avere da qualche parte qualche schifezza era troppo alto per il tempo perso ed eventualmente ritrovarsi punto a capo.
Mi sarebbe piaciuto vedere i log per capire come hanno attaccato.
L'importante è che tutto ora sia risolto, ho notato che vi sono ancora un po di errore di visualizzazione nel sito ad esempio: Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/zalexo.it/httpdocs/configuration.php:77) in /home/httpd/vhosts/zalexo.it/httpdocs/includes/joomla.php on line 699
Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/zalexo.it/httpdocs/configuration.php:77) in /home/httpd/vhosts/zalexo.it/httpdocs/includes/joomla.php on line 1465
Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/zalexo.it/httpdocs/configuration.php:77) in /home/httpd/vhosts/zalexo.it/httpdocs/templates/ja_quillaja/ja_templatetools.php on line 29
più altre notifiche.
-
hanno lasciato scritto come hanno fatto è già qualcosa.... ::)
Si, effettivamente lasciar traccia dell'exploit è in linea con l'etica hacker.
Ora sta a vedere se effettivamente è hanno fatto così e lo sviluppatore si metterà all'opera per patcharlo.
Per ora io non abbandono questo componente;è il migliore tra quelli di url rewriting gratuiti; i vecchi metodi di prevenzione sono i migliori: backup e chiusura dei permessi di scrittura su file e cartelle nevralgici.
scusa big.. posso chiederti alcune cose? chiaramente domande rivolte anche agli altri..
che file e cartelle consigli di chiudere per avere piu sicurezza? e chiusura cosa vuol dire?
attualmente il sistema per default setta i permessi per le cartelle a 755 (777 per quelle che devono essere scritte) e 644 per i file (666 per i configuration.php). E consigliabile cambiare qualcosa?
Ciao e grazie
No, direi che 644 per i file e 755 per le cartelle sia un'ottima soluzione. ;)
Io, per sicurezza, ho settato i permessi a 604 per i file e 705 per le cartelle (in pratica ho tolto i permessi al gruppo del proprietario) e ho impostato in questa maniera i permessi anche sulle cartelle "nevralgiche" come "components", "modules", "mambots", e sui file "configuration.php".
Di contro c'è che è veramente noioso, ogni volta che bisogna installare qualcosa, ricordarsi di aprire l'editor e cambiare i permessi, ma credo sia un prezzo accettabile per cercare di stare un po' più tranquilli. ;)
p.s.:Ciao Zalexo!E' stato un piacere! :)
-
Porca p.....a hanno forato ancora il sito, non c'erano componenti a riskio, il sito funzionava perfettamente ed era completamente pulito.
Ma che cacchio succede? Ma cacchio non mi possono dire qualcosa su questi log, fanno finta di niente e non rispondono alle miei domande sui log!!!!!
Ma sfkjmaldkfajsflkjsafdlaj
>:( >:( >:( >:( >:( >:( >:( >:( >:( >:( >:( >:( >:(
-
Ragazzi sto impazzendo, ora ho i file di log.
Qualcuno, anche a pagamento, mi ci può guardare? Io no ne capisco tanto e non saprei dove trovare il problema.
Cmq ringrazio tutti
-
a me il tuo sito da errori solo derivanti dall'header.
Tutto il resto lo vedo e ci navigo sine problema.
-
Se guardi l'html della pagina vedi che sono entrati.
-
be io ho provato ad andarci e l'antivurus ha trovato
vedi img
non so se il virus lo porti tu nel tuo pc o te hanno messo nello spazio web
io userei antivir gratuito leggero funziona
[allegato eliminato da un amministratore]
-
Il mio pc è pulito.
grazie cmq
-
in ogni caso appena entri tuo sito compare
p.s. il sito sullo spazio web alternativo ha probelemi??
-
Ragazzi sto impazzendo, ora ho i file di log.
Qualcuno, anche a pagamento, mi ci può guardare? Io no ne capisco tanto e non saprei dove trovare il problema.
Cmq ringrazio tutti
hai i pm pieni, a me interesserebbe vedere i file di log e capire la falla, non so se ne sono in grado....fammi sapere
-
Allora, adesso ho liberato i PM.
Allora visto che nessuno mi poteva darmi una mano mi sono rivolto a un host professionale e gli ho dato tutto in mano, log backup db e altro.
Non posso perdere altro tempo, sono fuso, stanco e stressato.
Non avevo su nessun componente a riskio:
http://assistenza.joomlahost.it/index.php?x=&mod_id=2&id=11
anche se qui sh non c'è....
Non so che dirvi ragazzi.
Cmq appena l'host mi dice qualcosa vi faccio sapere.
Ciao
-
se hanno ribucato vuol dire che c'è qualcosa lato server o hanno trovato bachi ancora sconosciuti :-\
-
se hanno ribucato vuol dire che c'è qualcosa lato server o hanno trovato bachi ancora sconosciuti :-\
se avessero trovato bachi ancora sconosciuti dipendenti da qualcosa presente in un installazione con moduli generici .. secondo me.. non saremmo qui a parlare del problema di zalexo ma saremmo qui a bestemmiare in turco aramaico sul come mai tutti i nostri siti siano gambe all'aria.
Allora visto che nessuno mi poteva darmi una mano mi sono rivolto a un host professionale e gli ho dato tutto in mano, log backup db e altro.
Non posso perdere altro tempo, sono fuso, stanco e stressato.
Non avevo su nessun componente a riskio:
http://assistenza.joomlahost.it/index.php?x=&mod_id=2&id=11
che cavolo .. nemmeno il tempo di vedere il messaggio nel source html ^^
vabbe' va.
Cmq, cosi' giusto come nota di colore, hai solo levato l'index.php ma il lato amministrazione puo' ancora essere usato... o per lo meno risponde.
Magari frega nulla perche' tutto quello che e' li' ora verra' riscritto .. ma magari no e allora meglio avvisare ^^
-
Una volta che entrano mi inibiscono totalmente l'accesso al sito. E mi ritrovo nella cacca.
Stiamo leggendo il log e gli attacchi sono tanti, non solo 1, da tante persone diverse sembrerebbe.
Non si capisce bene perchè il modrewrite complica la lettura.
Fra le altre cose l'iframe che vedevate prima è stato inserito in un momento che solo googlebot era sul sito.
Insomma un disastro, per fortuna ora queste persone mi stanno aiutando. Cmq la loro upinione e che abbiano attaccato il sito alla cieca sparando a caso e seguendo un turorial su come attaccare joomla che mi dicono sia pubblicato in rete da qualche parte.
Non so ragazzi, se mi entravano i ladri in casa era meglio....
-
uhmmm molto male che vi siano già guide pronte per i lammer del mondo che non hanno altro da fare....
per dlando io intendevo bachi non conosciuti delle varie estensioni e moduli esterni.
-
eh , avevo capito che la seconda volta l'installazione fosse senza moduli di terze parti.
-
c'era su solo la 1.0.13 e:
-sef advance
-fireboard
-tags
-fabrik
e basta, tutte componenti sicure.
Adesso cmq mi stanno controllando il log e mi dicono se entra di nuovo da dove passa.
ciao
-
forato di nuovo, andiamo per esclusione.
Sembra che non hanno accesso via ftp, le pass sono tutte diverse.
Ora tramite qualche file .php
-
ammazza più buchi che in un groviera ;) :-X
-
cioe' .. scusami .. ma hai un'installazione nuova su un server diverso con password diverse sia per le connessioni FTP che per il DB e entrano lo stesso ?
-
cioe' .. scusami .. ma hai un'installazione nuova su un server diverso con password diverse sia per le connessioni FTP che per il DB e entrano lo stesso ?
No no sono sempre su jhost, ho solo cambiato di nuovo le pass al plesk e al ftp.
Il resto è rimasto invariato.
Il sito ha una falla daqualche parte, ora non centra sh404sef. C'è qualcosa che lo fa entrare e non sappiamo cosa sia, l'unica cosa che possiamo fare è dargli il sito in pasto, vedere da dove passa e studiare una soluzione.
-
ma non stavi provando anche su un altro server ??
per vedere e provare !!!
-
ciau digitando
http://www.zalexo.it/contatto-consulenza.html (non fatelo)
il mio antivirus mi da questo
detected: Trojan program Trojan-Downloader.VBS.Psyme.iq URL: http://usuarios.arnet.com.ar/alvarezluque/morgan.html
quindi devi avere o il tuo pc..o il server impestato da quesyo rootkit
per eliminarlo bisogna usare diversi tools ( 2 palleee)
dai un okkio qui:
http://www.p2pforum.it/forum/showthread.php?t=115737 (http://www.p2pforum.it/forum/showthread.php?t=115737)
bohh kissa magari dipende da questo
saluti
-
ciau digitando
http://www.zalexo.it/contatto-consulenza.html (non fatelo)
il mio antivirus mi da questo
detected: Trojan program Trojan-Downloader.VBS.Psyme.iq URL: http://usuarios.arnet.com.ar/alvarezluque/morgan.html
quindi devi avere o il tuo pc..o il server impestato da quesyo rootkit
per eliminarlo bisogna usare diversi tools ( 2 palleee)
dai un okkio qui:
http://www.p2pforum.it/forum/showthread.php?t=115737 (http://www.p2pforum.it/forum/showthread.php?t=115737)
bohh kissa magari dipende da questo
saluti
il mio antivir lo ha bloccato subito senza bisogno di rimozione
-
ma non stavi provando anche su un altro server ??
per vedere e provare !!!
Si si certo, ovviamente sull'altro server funziona che è una meraviglia.
Il mio pc è pulito e protetto da Avira (antivir) come il tuo, ma versione premium completa, costata se ricordo bene 50 e passa €.
Quindi sono tranquillo.
Ci deve essere qualche script, ma gari in qualche mambot, non abbiamo ancora capito.
Cmq per ora stiamo lavorando e vediamo
-
comunque tornerebbe utile leggere anche questo
http://mamboguru.com/index.php?option=com_content&task=view&id=20&Itemid=33
ciao
jk
-
comunque tornerebbe utile leggere anche questo
http://mamboguru.com/index.php?option=com_content&task=view&id=20&Itemid=33
ciao
jk
Grazie, attualmente il sito è sicuro, ma è attaccato in automatico ogni ora.....
Vediamo.
Devo ringraziare tutti per l'aiuto e in particolare Sara della azienda che mi sta monitorando il sito, grazie a lei ora il sito è sicuro.
Io da lunedì sono fuori per 14 giorni e loro si sono offerti di tenermi d'occhio il sito.
cmq ripeto il ringraziamento a tutta la comunità.
ciao
-
ciao zalexo,
dici che il sito ora è sicuro perchè avete individuato da dove entrano, oppure ...
ciao
jk
-
Guarda loro mi hanno detto che lanciavano uno script su un sito esterno che faceva fare certe operazioni a joomla, loro poi in qualche modo entravano.
Loro mi hanno patchato alcuni file, supp. il .htaccess e adesso il problema è risolto.
Almeno per ora.
Però ho capito che non riescono a capire da dove entrano esattamente.
ciao
-
Loro mi hanno patchato alcuni file, supp. il .htaccess e adesso il problema è risolto.
loro chi sono ??
jh
o
la ditta a cui ti sei rivolto ??
grazie
-
La ditta se mi scrivete in privato vi lascio il link.
Mi diceva la tipa che era un inglese.
ciao
-
Sarebbe utile sapere quali sono le modifiche fatte per renderlo più sicuro... altrimenti prima o poi ci andiamo di mezzo tutti :-(
-
Hello,
I am sorry to have to write in English, I don't speak Italian. I am also sorry to read what i think I understand from this post. I have made another answer here: http://forum.joomla.it/index.php/topic,27884.msg124135.html#msg124 (http://forum.joomla.it/index.php/topic,27884.msg124135.html#msg124)135
To make it short:
- sh404SEF (or Joomla) CANNOT be involved if they had FTP access, just as they did on my site. The vulnerability technically must come from somewhere else.
- If you keep using normal FTP, Zalexo, you are still vulnerable.
Please read in the other post the copy of my discussion with the support technician of my host. By chance, I had access and FTP logs which allow me and my host (bluehost.com) to see they had access to ftp.
Best regards to all
Yannick gaultier (shumisha)
PS: would be nice if someone could translate this to Italian so that more people could understand
-
Ciao a tutti,
volevo fare una traduzione veloce su quello che ha scritto shumisha, visto che mi è stato chiesto personalmente da lui.
*****
Ciao, mi dispiace di dover scrivere in inglese, ma non parlo italiano. Mi dispiace anche di aver letto su questo post ciò che mi è parso di capire (nota: nel senso che non parlando l'italiano non avrà afferrato perfettamente tutto)
Ho scritto un'altra risposta qui:
http://forum.joomla.it/index.php/topic,27884.msg124135.html#msg124135
Per farla breve:
- sh404SEF (o Joomla) NON POSSONO ESSERE COINVOLTI se gli hacker hanno un accesso FTP, proprio come hanno fatto sul mio sito. La vulnerabilità deve arrivare tecnicamente da qualche altra parte.
- Se tu, zalexo, continui ad usare il normale protocollo FTP, sei ancora vulnerabile.
Perfavore, leggete nell'altro post la copia della mia discussione con il supporto tecnico del mio host.
Per caso ho avuto accesso a logs FTP che hanno permesso a me ed al mio host (bluehost.com) di vedere che loro hanno avuto accesso dall'ftp.
Saluti a tutti
**********************************************
-
Ciao zalexo, hai poi risolti i tuoi problemi? anch'io da un pò di giorni a questa parte sono afflitto da attacchi che partono dal server dove ho il sito verso l'esterno, con lo stesso hosting. Da 4 giorni il sito è praticamente sempre giù, nonostante sia joomla che smf siano aggiornati alle relative ultime versioni. :(
-
mi sa che sta succedendo anche a me ... ora provo a cancellare tutto e rimenttere su qcosa di pulito
-
In questi giorni anche io sto rilevando diversi attacchi ad un mio sito... ma li ho una situazione particolare...
Su un dominio ho due siti... il sito nuovo in Joomla e il sito vecchio in PHP-Nuke.
Il sito sotto attacco è quello in PHP-Nuke che, anche se non è aggiornato alle ultime versioni, ha un "componente" chiamato Sentinel che blocca tutti gli attacchi (di tipo Flood) mettendo l'ip attaccante in black list.
Non so se è sotto attacco anche Joomla perché non mi segnala nulla... sarebbe utile avere un componente tipo "Sentinel" per tenere traccia di questi attacchi e comportarsi di conseguenza...
Sicuramente Joomla ha meno problemi di PHP-Nuke per cui può sopravvivere anche senza questa specie di Firewall chiamato Sentinel...
-
ciao ragazzi anche il mio sito è sottoattacco da parte di non so cosa che mi modifica il file aggiungendomi delle righe che mi rimandano al sito http://usuarios.arnet.com.ar/alvarezluque/morgan.html
Oggi poi mi ha interamente cancellato la cartella component.
Qualcuno sa dirci qualcosa?
-
Che versione hai?
Su che hosting stai?
-
Topic bloccato.
Continuare a uppare per questioni OT porta solo confusione.
Se avete problemi di host rivolgetevi agli stessi prima di postare, dopodichè - se è il caso - aprite 3d nuovi.
Grazie.