Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : zalexo 10 Feb 2008, 12:42:02
-
Sembra incredibile ragazzi... Non ne posso più...
Guardate come appare oggi la home di www.zalexo.it.
Mi hanno forato di nuovo il sito.
Ok è molto visibile... ma quà c'è qualcosa che non va...
Cacchio su ho la 1.5 con 2 componenti esterni newsletter per la sitemap.
Tutti sicuri e aggiornatissimi.
Si potrà? Adesso fino a domani niente da fare e figura di Merda...
Ok, di sicurezza non so un cacchio, ma non riesco a capire la situazione.
[allegato eliminato da un amministratore]
-
Anche a me! Joomla 1.13b... stessi hackers.
-
Anche a me! Joomla 1.13b... stessi hackers.
Dammi il link al tuo sito.
Vedrai che hanno forato il server passando da altre parti....
Magari eravamo nella stessa macchina....
-
ma co versione avevate installato, su che hosting, e con quali componenti installati?
saluti
-
Hanno forato tutto il server.
Io avevo la 1.5 con acajom newsletter e xmap.
Il server è: 81.31.151.36
Sto guardano altri siti sulla stessa macchina, tutti forati....
Forati anche sottodomini....
Nei sottodomini avevo la 1.0.13b stabile, praticamente senza componeneti. Uno con jsubimit e sefservicemap e l'altro con un comp per directory....
Mi hanno pure forato un sottodominio VUOTO!!!!
INCREDIBILE!!!!!!
-
ok ma come hosting avevi aruba, Register, altro....
cosi da sapere cosa prediligono
-
Vai su zalexo.it e leggi....
-
Hanno forato tutto il server.
Io avevo la 1.5 con acajom newsletter e xmap.
Il server è: 81.31.151.36
Sto guardano altri siti sulla stessa macchina, tutti forati....
Forati anche sottodomini....
Nei sottodomini avevo la 1.0.13b stabile, praticamente senza componeneti. Uno con jsubimit e sefservicemap e l'altro con un comp per directory....
Mi hanno pure forato un sottodominio VUOTO!!!!
INCREDIBILE!!!!!!
hanno veramente fatto un macello....
-
anche i miei 5.....
-
anche i miei 5.....
Ho già ricevuto 5 e-mail di altri utenti nella stessa situazione....
Bisogna vedere se anche i loro siti sono sulla stessa macchina...
cmq io sono stufo....
Ho tutto il network FERMO!!!!
-
uno sul .36
e 5 sul .33
ma porca .......
-
uno sul .36
e 5 sul .33
ma porca .......
Anche www.cardellini.org sulla 81.31.151.36
FORATO!!!!!
-
Ho un sito sulla 81.31.151.32 due ora fa andava, ora è bloccato...
Sono sotto attacco!!!!
-
anche il mio principale sul .32 e' irragiungibile!!!!
ma non c'e' nessuno in webfarm????
-
anche il mio principale sul .32 e' irragiungibile!!!!
ma non c'e' nessuno in webfarm????
Hanno mandato in blocco quasi tutte le macchine...
Ho dei clienti che mi stanno telefonando....
PORCACCIA
cmq ragazzi domani glielo dite voi a un mio cliente albergatore che oggi non può ricevere preventivi per il suo albergo.
Ridiamoci su... va..
-
Ragazzi anche io ho 5 siti forati, poi il bello che una volta ripristinato il backup di 2 gg. fa' (per fortuna che ce l'ho), sembra tutto funzionare, ma dopo mezz'ora risuccede tutto come prima.
Quindi ragazzi se joomla funziona e non ha falle, quelli di joomlahost.it fanno casini. Vogliamo tutti dei chiarimenti, spero siate d'accordo con me, perche' non se ne' puo' piu' di questa situazione.
-
avete avuto modo di controllare cosa hanno cambiato?? che file hanno modificato?
-
Tutti gli index.php index2.php index.html nella cartella cache. Mi sembrano questi...
-
purtroppo ho un sito andato.... anch'io... dalle 13.22 le modifiche ai file index.... tutti e alla cartella conf ( a cui non si può accedere...)
server 81.31.151.33
-
Ragazzi anche io ho 5 siti forati, poi il bello che una volta ripristinato il backup di 2 gg. fa' (per fortuna che ce l'ho), sembra tutto funzionare, ma dopo mezz'ora risuccede tutto come prima.
Quindi ragazzi se joomla funziona e non ha falle, quelli di joomlahost.it fanno casini. Vogliamo tutti dei chiarimenti, spero siate d'accordo con me, perche' non se ne' puo' piu' di questa situazione.
Lascia stare, puoi fare solo altri casini.
Questa cazzata la devo risolvere loro.
Ho aperto un tiket, speriamo si muovano in fretta...
Il server è nelle mani dell'hacker quindi non toccare nulla, aspetta che siano loro a ripristinare il backup.
-
purtroppo ho un sito andato.... anch'io... dalle 13.22 le modifiche ai file index.... tutti e alla cartella conf ( a cui non si può accedere...)
server 81.31.151.33
Tutti i siti in quella macchina sono andati....
e non solo quelli....
Ma non hanno un cacchio di n° di telefono....
-
confermo file index.php index2.php e index.html modificati
-
basta sostituire quelli e tutto funziona?
-
Tutti su piattaforma plesk??? il .19 e' ancora su incredibile....
-
Tutti su piattaforma plesk??? il .19 e' ancora su incredibile....
I miei e i miei clienti tutti siu plesk
-
confermo file index.php index2.php e index.html modificati
Confermo anche io, tutti i files index.php, e index.html
Ragazzi, cosa consigliate di fare, ho aperto un tiket ma mi conviene cercare di cambiare tutti i files, o aspettare un ripristino da parte loro?
-
anche i miei tutti su plesk, e pensare che da domani iniziavo il traferiento alla nuova piattaforma :'( :'( :'( :'(
-
Mi unisco anch'io .... 8 siti hackerati fortuna vuole ne ho ancora 3 su ....... seconda volta da quando joomlahost è passata in mano a colt engine >:(
-
confermo file index.php index2.php e index.html modificati
Confermo anche io, tutti i files index.php, e index.html
Ragazzi, cosa consigliate di fare, ho aperto un tiket ma mi conviene cercare di cambiare tutti i files, o aspettare un ripristino da parte loro?
Io aspetterei loro....
-
Raga, il problema principale è che questi se ne' fottono di noi, visto che non hanno neanche messo un avviso, di eventuali (reali) problemi sui vari server... Tutto qua.
-
Ciao ragazzi, è accaduto anche a me. Per fortuna nel mio caso si trattava di un solo sito. Ho modificato tutte le pagine index.php e .html ripristinando il sito...al momento. Ho aperto un ticket con joomlahost. Oltre a chiedere spiegazioni ho chiesto contestualmente l'authorization code per il trasferimento del dominio. Qui forse qualcuno pensa che taluni siti vengano realizzati per passare il tempo o per hobby: bisogna rendersi conto che tanta gente ci lavora con i siti e per fare questo paga per avere un servizio quantomeno attento. Scusate lo sfogo ma tra i tanti siti joomla realizzati e hostati altrove non mi era mai capitata una cosa simile...
-
Ma non hanno un cacchio di n° di telefono....
39-011-2340032.
NON penso di domenica rispondano cmq
-
Ciao ragazzi, è accaduto anche a me. Per fortuna nel mio caso si trattava di un solo sito. Ho modificato tutte le pagine index.php e .html ripristinando il sito...al momento. Ho aperto un ticket con joomlahost. Oltre a chiedere spiegazioni ho chiesto contestualmente l'authorization code per il trasferimento del dominio. Qui forse qualcuno pensa che taluni siti vengano realizzati per passare il tempo o per hobby: bisogna rendersi conto che tanta gente ci lavora con i siti e per fare questo paga per avere un servizio quantomeno attento. Scusate lo sfogo ma tra i tanti siti joomla realizzati e hostati altrove non mi era mai capitata una cosa simile...
io sono andato via a dicembre scorso facendo un redirect 301
su altra ext a breve trasferisco anche il dominio
-
Raga, il problema principale è che questi se ne' fottono di noi, visto che non hanno neanche messo un avviso, di eventuali (reali) problemi sui vari server... Tutto qua.
Maledizione ??? come dobbiamo fare? Che qualcuno ci aiuti!!!!!
:(
-
io son qua che tremo.... :'( :'( :'(
-
hanno approvato la class action da qualche tempo i nostri governanti
la famosa causa collettiva....
per chiarimenti
http://www.classaction.it/CLASS_ACTION_Codice_consumo_art_140bis.pdf
-
scusate, ma che hanno fatto?? hanno solo defacciato il sito?
cioe' avendo un backup del DB lo ripristinate o no??
-
3 giorni fa alcuni clienti mi chiamano perchè i siti non erano raggiungibili come neppure la mail.
Apro i relativi ticket (perchè solo così ti rispondono) e scopro che hanno fatto dei lavori di manutenzione ed hanno dimenticato di riattivare il servizio.
Tra l'altro il tutto detto con una calma incredibile, come se fosse normale.
Fino a quando il servizio era gestito da AlexRed non ho mai avuto nessun tipo di problema, adesso invece sembra di rivivere il periodo passato sotto la EXTREME ....
-
se leggi piu sopra vedrai che hanno modificato solo i file index.xxx pero e' un pacco lo stesso
dover rimettere apposto tutto, mi mancano 2 backup!!! :'( :'( :'( :'( :'(
-
scusate, ma che hanno fatto?? hanno solo defacciato il sito?
cioe' avendo un backup del DB lo ripristinate o no??
siccome tutti i siti del server sono ackerati
è qualcosa di piu che cambiare solo gli index
quelli ritornano
-
se leggi piu sopra vedrai che hanno modificato solo i file index.xxx pero e' un pacco lo stesso
dover rimettere apposto tutto, mi mancano 2 backup!!! :'( :'( :'( :'( :'(
Io mi rifiuto di perdere un pomeriggio o più di lavoro per ripristinare.
DEVONO FARLO LORO!!!
In un sito satellite ho provato a sistemare ma in 2 minuti era forato di nuovo.
-
fate una prova
http://www.yougetsignal.com/tools/web-sites-on-web-server/
mai visto tanti siti tutti assieme
kess ha ragione una bella class action
-
fate una prova
http://www.yougetsignal.com/tools/web-sites-on-web-server/
mai visto tanti siti tutti assieme
kess ha ragione una bella class action
La conosco bene questa tool....
203 domini, tutti forati in quella macchina....
-
cioe', veramente.... non ho parole :'( :'( :'( :'(
la domenica e' l'unico giorno libero che ho, e devo stare qui a controllare la situazione :'( :'( :'( :'(
ed la cosa bella e' che non posso ricevere le email dall'assistenza perchè anche il mio sito e bloccato
-
Già la domenica ... pensavo che COLT ENGINE è a 20 minuti di macchina da casa mia, quasi quasi vado a chiedere di persona come sta procedendo la cosa...
-
cioe', veramente.... non ho parole :'( :'( :'( :'(
la domenica e' l'unico giorno libero che ho, e devo stare qui a controllare la situazione :'( :'( :'( :'(
ed la cosa bella e' che non posso ricevere le email dall'assistenza perchè anche il mio sito e bloccato
Anche questo: http://www.quadstore.it/ su ip dedicato 81.31.151.38 FORATO!!!
Fantastico....
-
stanno andando in su con l'ip finale
vedrai che fra poco cadono anche i miei che stanno sul 40
increbile cmq che ancora nessuno del provider abbia trovato una soluzione.
-
stanno andando in su con l'ip finale
vedrai che fra poco cadono anche i miei che stanno sul 40
increbile cmq che ancora nessuno del provider abbia trovato una soluzione.
Stanno cadendo come mosche....
Per ora la 81.31.152.82 dove risiedono alcuni miei clienti è tutto ok
-
per riepilogare
81.31.151.32 202 siti
81.31.131.33 202 siti
81.31.131.34 1 sito
81.31.131.36 203 siti parziale
81.31.131.37 1 sito
81.31.131.38 2 siti
sono andati circa 500 siti + o -
NON MALE....
-
sembra dico sembra che vengano colpiti quelli che usano plesk..confermate?
-
Ragazzi, gentilmente, potete parlare del problema sul forum di Joomlahost, dove daranno sicuramente aggiornamenti sulla situazione.
-
Salve erano giorni che stavo monitorizzando questa situazione e oggi insieme ad un amico abbiamo deciso di di internevire su i nostri siti per evitare spiacevoli conseguenze di seguito vi riporto un piccolo articolo che ho publicato sul nostro sito e un semplice rimedio ma per il momento efficace non vi dico il sito dove ho publicato l'articolo perche in quel sito vendo hosting non credo sia il caso :)
Da giorni notavo su alcuni siti in joomla un incremento ingiustificato delle visite che sono passate dalle 150 usuali a quasi 300.
Tali visite provenivano un po’ da tutto il mondo e utilizzare un browser LibWWW ( pero sono script in perl) e puntavano a url non presenti sul mio sito perchè puntavano su componenti joomla non installati.
Questo perchè cercavano, di fare spam o utilizzare il sito per fare spam o anche di trovare un componente con una falla probabilmente per tentare un defaticamento al sito o file php esempio il configuration.php per tentare distruggere il sito.
Queste richieste si sono fatte sempre più frequenti ed hanno provocato un significativo rallentamento del server.
A questo punto l'unica soluzione che abbiamo trovato rapidamente e stata quella di impedire l'accesso a queste richieste modificando il file, .htaccess inserendo le regole:
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]
E’ Importante, controllate le statistiche, se trovate traffico anomalo, o link anomali, è consigliato di inserire delle regole specifiche nel file htaccess, per bloccare questo traffico anomali.
Ciao a tutti
-
cazzo,
guardate qui
http://www.arm-it.eu/ (http://www.arm-it.eu/)
Possibile che nessuno mi avverte e devo saperlo dal cliente?
Mi dite cosa cavolo succede?
Saluti
Carmine Picariello
-
grazie marco per la dritta,
comunque, almeno per me, non ho notato aumenti di traffico in questi giorni, azzi una diminuzione ehehehe
ma la gente non ha meglio da fare???
-
prego victor no ce di che comunque vi confermo che la modifica al file .h per ora regge :)
-
prego victor no ce di che comunque vi confermo che la modifica al file .h per ora regge :)
Spiegatemi bene....
Ho ricevuto una mail dall'assistenza dove dicono che basta sostiuire l'index.php.
Fatto, ma non cambia nulla.
Fatta anche la modifica al .htaccess
Boh!!!
-
io ho fatto la modifica al file .htaccess e mi funziona, mi blocca gli acessi da LibWWW, ora non so cosa ti hanno detto di modificare nel file index.php.
-
scusa ma la modifica non serve a ripristinare il sito serve ad evitare che te lo bucano.
-
Spiegami bene, quali index.php hai sostituito?
-
Cacchio è successo pure a me...è la prima volta che mi capita!!! guardate www.directory-aziende.net
Ho mandato un ticket, speriamo risolvano. :-[
-
tutti i file index.php index2.php e index.html
vanno riprisitati perchè sono stati tutti modificati
un lavoraccio!!
-
se non avete un backup del sito come si dice sono ucelli per diabetici :) dopo ripristinato il sito modificate il .h e per un po dovrebbe tenere :)
-
In tutte le cartelle?
LO FANNO LORO!!!!
-
loro chi aiutati che dio ti aiuta :)
-
hanno approvato la class action da qualche tempo i nostri governanti
la famosa causa collettiva....
per chiarimenti
http://www.classaction.it/CLASS_ACTION_Codice_consumo_art_140bis.pdf
Mi associo.
-
server 81.31.151.33
anche io sul 33 .... non mi sono accorto l'ora, ma ora e' giù lui e i 4 sottodomini, tutti attaccati allo stesso modo :'(
Spero che risolvano presto
-
scusate, io tramite ticket ho richiesto l'ultimo backup anche perchè tra le caratteristiche dei servizi indicano:
- backup settimanale
Speriamo bene >:(
-
Io ragazzi ho un backup intero, una volta ripristinato, cosa si puo' fare per mettere al sicuro il sito da altri attacchi ?
Intendo comunque che il sito deve essere navigabile, ovviamente.
Grazie.
-
devi inserire questa regola nel file .h
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]
-
Scusa fammi capire bene nel file .htaccess dovrei mettere questo sotto, ma in che posizione? :
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://www.pippo.it [R,L]
Grazie
-
no devi mettere come ho messo io 127.0.0.1 no il tuo dominio
-
Poi credo che basta chedere aiuto a joomlahost che avranno la soluzione al problema io ho trovato questa soluzione ma no so se sia la più efficace.
-
NOOOO!
www.podmast.it su joomlahost.
E' da poco uscita la puntata della radio, traffico immenso ed immensa figura di mer***. Non ho backup, come faccio? Cavolo, non co voleva proprio!
-
cioe', veramente.... non ho parole :'( :'( :'( :'(
la domenica e' l'unico giorno libero che ho, e devo stare qui a controllare la situazione :'( :'( :'( :'(
ed la cosa bella e' che non posso ricevere le email dall'assistenza perchè anche il mio sito e bloccato
Anche questo: http://www.quadstore.it/ su ip dedicato 81.31.151.38 FORATO!!!
Fantastico....
quadstore.it è di un mio cliente.
ne ho molti altri , tutti giu.
una domenica bellissima.
-
li hanno passati tutti dal .32 al .38
leggendo sul forum di joomlahost anche i siti in wordpress e in semplice html sono stati forati, io entrando dal plesk ricevo un sacco di errori, che abbiano scovato una falla nel plesk?
i siti nel nuovo pannello funzionano tutti correttamente
-
@Marco, la tua soluzione (non ho verificato la correttezza, ma conosco il tipo di problema che va a risolvere) è valida solo per attacchi diretti che tipicamente cercano di sfruttare falle di sicurezza allo scopo di utilizzare il dominio attaccato per inclusioni da remoto di qualsiasi file.
A me pare evidente che qui si tratti di tutt'altro, ovvero (magari sfruttando questo tipo di falla, ma non è detto) sono riusciti ad entrare nel (nei) server e quindi stanno procedendo a defacciare tutti i domini (ma per l'appunto, sembrerebbe dall'interno, non da attacchi diretti ai singoli domini dall'esterno).
Inoltre, nella stragrande maggioranza dei casi l'uso del libwww-perl viene fatto, come detto, per le inclusioni da remoto e affinchè possa funzionare necessita che la macchina consenta le inclusioni da remoto. In un hosting condiviso dubito che siano abilitate le inclusioni da remoto, ma se così fosse (da pazzi...) basterebbe disabilitarle a livello server.
Il problema però, è individuare ora cosa hanno caricato sul server, perchè finchè non si elimina (e si controlla tutto il server), questo tipo di intervento non serve a nulla.
Ancor meno serve ripristinare i file index, se non a tirar su i siti (ma se hanno avuto accesso di root al server... potrebbero tranquillamente aver messo su uno scriptino che sostituisce i files index e attivato un cron job che lo esegua continunamente....)
Insomma, serve l'intervento immediato di chi gestisce i server.
-
neanche joomlahost mi apre...non posso aprire ticket, nulla...
-
li hanno passati tutti dal .32 al .38
leggendo sul forum di joomlahost anche i siti in wordpress e in semplice html sono stati forati, io entrando dal plesk ricevo un sacco di errori, che abbiano scovato una falla nel plesk?
i siti nel nuovo pannello funzionano tutti correttamente
può darsi sia un errore di configurazione sui permessi.
riguardo all'htaccess da inserire non ho ben capito , la regola sarebbe
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]
con al posto dell'ip del localhost l'ip del nostro sito, o il dominio del nostro sito, o semplicemente lasciando il localhost ?
-
la questione è divertente
un giorno di business in meno per ogni cliente più le ricadute su chi usufruisce di joomlahost come partner per i servizi web.
nota: i siti su directadmin non sembrano soffrire del problema.
-
dimenticavo
avete notato differenze nelle tabelle dei db di una certa rilevanza (user nuovi etc.. ) ?
-
Ciao ragazzi hanno forato anche il mio sito http://www.sikane.org che è caricato sul .36 .Cosa mi consigliate di fare? Devo aprire un ticket altrimenti non risolvono nulla? E' gratuito il servizio di assistenza (aprire ticket)?
Grazie anticipatamente e ciao
-
purtroppo non riesco ad accedere per verificare niente apparte dal ftp.....
-
Ciao ragazzi hanno forato anche il mio sito http://www.sikane.org che è caricato sul .36 .Cosa mi consigliate di fare? Devo aprire un ticket altrimenti non risolvono nulla? E' gratuito il servizio di assistenza (aprire ticket)?
Grazie anticipatamente e ciao
credo che saranno sommersi dai ticket.....
invialo comunque
-
No anche i siti con direct admin vengono bucati.
io spero che per il momento la modifica al file .htaccess sia suficente io ho tre server e sto cercando di capire come internvenire per risolvere il problema a monte.
quello che posso dire che in 6 giorno ho ricevuto migliai di richieste che risultavano provenienti da molti provider anche italiani e che usavano LibWWW. circa 10.000 in una settimana
-
A me hanno toccato 10 siti (di altrettanti clienti) e ne ho ancora su 5 che funzionano tra directadmin e plesk (per cui sembra anche cadere l'ipotesi che siano stati toccati solo i siti con plesk).
La cosa bella è che non tutti girano con Joomla, ma anche con ModX, Drupal, Sugarcrm ... e TUTTI sono stati attaccati, come se un superadministrator avesse avuto il controllo del server
I db sono intatti, ma tutte le cartelle hanno i permessi di accesso cambiati.
Ho fatto una prova su un sito : ho cancellato tutti i files nella directory principale ma nonostante questo compare sempre la stessa pagina hack, sia svuotando la cache del browser sia provando su computer e browser diversi, come se la pagina in realtà fosse altrove ...
-
ormai è super certo che sono entrati in casa e scorrazzano a destra e a manca rovistando negli armadi e mettendo sottosopra le stoviglie
sono entrati dalla porta principale.........
magari le chiavi erano anche ben in vista
ora non basta chidere la porta devono mandarli via prima
bel colpo !!!!!!!!!!!
-
81.31.151.26
server down
-
No anche i siti con direct admin vengono bucati.
io spero che per il momento la modifica al file .htaccess sia suficente io ho tre server e sto cercando di capire come internvenire per risolvere il problema a monte.
quello che posso dire che in 6 giorno ho ricevuto migliai di richieste che risultavano provenienti da molti provider anche italiani e che usavano LibWWW. circa 10.000 in una settimana
@marco
hai inserito
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]
oppure hai sostituito 127.0.0.1 con l'ip del tuo dominio ?
o con il nome a dominio del tuo sito ?
ciao
-
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ http://127.0.0.1 [R,L]
ecco cosa ho inserito
-
avete anche siti su directadmin forati?
-
si a me questa notte ho provato a mettere un componente con una falla ed e durato 3 minuti il sito poi lo hanno bucato
-
Ragazzi fate backup, i siti che avevo ancora su stanno pian piano cadendo qui la cosa non è affatto conclusa .......
-
A me hanno toccato 10 siti (di altrettanti clienti) e ne ho ancora su 5 che funzionano tra directadmin e plesk (per cui sembra anche cadere l'ipotesi che siano stati toccati solo i siti con plesk).
La cosa bella è che non tutti girano con Joomla, ma anche con ModX, Drupal, Sugarcrm ... e TUTTI sono stati attaccati, come se un superadministrator avesse avuto il controllo del server
I db sono intatti, ma tutte le cartelle hanno i permessi di accesso cambiati.
Ho fatto una prova su un sito : ho cancellato tutti i files nella directory principale ma nonostante questo compare sempre la stessa pagina hack, sia svuotando la cache del browser sia provando su computer e browser diversi, come se la pagina in realtà fosse altrove ...
Si la situazione è questa.
Mi hanno forato anche domini vuoti.
Devono risolvere loro.
-
pure a meeeeeeeeeee
-
Hanno forato anche la macchina: 81.31.151.32
Altri 200 siti off...
Altri clienti finiti male....
MA CHE CAVOLO SUCCEDE? Non riescono a risolvere?
-
no ti sbagli quella era già stata messa nel conto
aggiungiamo 81.131.151.26 come ha comunicato INO ...
per riepilogare
81.31.151.32 202 siti
81.31.131.33 202 siti
81.31.131.34 1 sito
81.31.131.36 203 siti parziale
81.31.131.37 1 sito
81.31.131.38 2 siti
sono andati circa 500 siti + o -
NON MALE....
-
Raga, vado a magiare una pizza sperando non mi vada di traverso... mi sa che festeggero' i 500 messaggi su questo topic :-(
-
per riepilogare
81.31.151.32 202 siti
81.31.131.33 202 siti
81.31.131.34 1 sito
81.31.131.36 203 siti parziale
81.31.131.37 1 sito
81.31.131.38 2 siti
sono andati circa 500 siti + o -
NON MALE....
sul 37 uno solo perchè è ip privato (perlomeno me lo hanno venduto come tale ghgh)
-
io su jh ne ho uno solo ed è caduto 151.33
giornata da ricordare..ma penso che non appena finirà tutto e sistemano le cose se la ricorderanno bene pure loro !!! sono inc...to come una bestia!!!!! >:(
-
Certo giornata da ricordare ... soprattutto domani quando i vari clienti vorranno controllare la posta, o gli eventuali ordini ricevuti ... e vagli a spiegare cosa è successo.
Certo, nel contratto era scritto che questi tipi di danni non erano a carico di chi fa il sito, ma vaglielo a spiegare lo stesso ..
-
Raga in 6-7 ore si stanno cancellando tutto il lavoro non so' di quanto tempo, ma vi rendete conto come sono messi?
Domani è una giornata di merda, non c'e' bisogno di andare da un mago...siete d'accordo ?
Ciao, incrociamo le dita e speriamo in joomlahost, tanto è tutto nelle loro mani.
-
Leggo questo post perchè stavo lavorando su 81.31.151.26 , è ho avuto un blocco durato 10 minuti, tutte e due i siti ora hanno ripreso a funzionare. ??? ??? Speriamo bene.
-
la vedo nera...sono tantissimi i siti oscurati...
-
Si, ma non è possibile con con questo caos non stiano facendo nulla!!! >:(
-
Abbiate fiducia in chi si è definito tecnicamente superiore e piu affidabile rispetto a piccoli provider nel corso di un noto evento mediatico su joomla.
-
Abbiate fiducia in chi si è definito tecnicamente superiore e piu affidabile rispetto a piccoli provider nel corso di un noto evento mediatico su joomla.
noto una certa ironia ;D ;D ;D
-
Si, ma non è possibile con con questo caos non stiano facendo nulla!!! >:(
Qualcosa stanno facendo...prima avevo la pagina nera con la lingua spagnola..ora ho una index del plesk...
-
ora iniziano con Wget 1.10.2
-
Abbiate fiducia in chi si è definito tecnicamente superiore e piu affidabile rispetto a piccoli provider nel corso di un noto evento mediatico su joomla.
Non possiamo far altro che aver fiducia, ma resta il fatto che un piccolo provider (ma molto conosciuto) in 3 anni non ha MAI avuto un problema di questo tipo. Certo le prestazioni sono limitate, ma parliamo di 10 euro all'anno.........
-
...spero solo che possano ripristinare il tutto...
-
Abbiate fiducia in chi si è definito tecnicamente superiore e piu affidabile rispetto a piccoli provider nel corso di un noto evento mediatico su joomla.
Non possiamo far altro che aver fiducia, ma resta il fatto che un piccolo provider (ma molto conosciuto) in 3 anni non ha MAI avuto un problema di questo tipo. Certo le prestazioni sono limitate, ma parliamo di 10 euro all'anno.........
se è quello che intendo io (Th) non è certo piccolo
46.000 domini ....... ndr
-
SI bhè piccolo nel senso che il tipo di servizio è più limitato !! ;)
-
Si, ma non è possibile con con questo caos non stiano facendo nulla!!! >:(
Qualcosa stanno facendo...prima avevo la pagina nera con la lingua spagnola..ora ho una index del plesk...
I miei ancora tutti spagnoli e incazzati neri...
-
Si, ma non è possibile con con questo caos non stiano facendo nulla!!! >:(
Qualcosa stanno facendo...prima avevo la pagina nera con la lingua spagnola..ora ho una index del plesk...
I miei ancora tutti spagnoli e incazzati neri...
Pure i miei...l'attacco è iniziato ieri verso mezzanotte...trovo poco serio stare ancora con questo casino a distanza di quasi 24 ore. Farò le mie valutazioni per l'acquisto dei prossimi domini >:(
-
Si, ma non è possibile con con questo caos non stiano facendo nulla!!! >:(
Qualcosa stanno facendo...prima avevo la pagina nera con la lingua spagnola..ora ho una index del plesk...
I miei ancora tutti spagnoli e incazzati neri...
Pure i miei...l'attacco è iniziato ieri verso mezzanotte...trovo poco serio stare ancora con questo casino a distanza di quasi 24 ore. Farò le mie valutazioni per l'acquisto dei prossimi domini >:(
non fan certo una bella figura questi signori, non tanto per l'attacco ma per il "mutismo" ... tra l'altro la cosa si sussegue ad altri eventi spiacevoli occorsi a miei conoscenti...bah
-
La cosa e iniziata molto prima diciamo da circa 7 giorni se qualcuno di voi a in mano delle statistiche se ne accorge da quelle.
-
non capisco...che senso ha fare tanto marketing con nuovi servizi (tipo joomla gia installato, i vari pacchetti etc...) se poi non si garantisce la cosa più importante ovvero la sicurezza di un sito sempre online e sicuro? bah....
-
RAGA ORA SUI SITI APPARE QUESTO SOTTO:
Sito temporaneamente irraggiungibile.
Notificare il problema ad un amministratore
Could not connect to the database server
CHISSA' COSA HANNO COMBINATO!!!! ANCORA... AVRANNO STOPPATO IL SERVIZIO!!! CHE PENA!!!
-
RAGA ORA SUI SITI APPARE QUESTO SOTTO:
Sito temporaneamente irraggiungibile.
Notificare il problema ad un amministratore
Could not connect to the database server
CHISSA' COSA HANNO COMBINATO!!!! ANCORA... AVRANNO STOPPATO IL SERVIZIO!!! CHE PENA!!!
Io ho sempre la pagina nera "spagnola" e sto imprecando...
-
Ragazzi, vi riporto la mia esperienza perchè temo che il problema non sia solo l'hosting, ma che ci sia in atto un attacco generale; io non so più che pesci prendere e cosa pensare.
Ho due siti che gestisco nel tempo libero, e sono entrambi sul server dell'università. Da 3 giorni me ne stanno dicendo di tutti i colori perchè pare che il server venga attaccato attraverso i siti joomla.
Io ho i siti completamente aggiornati, verifico tutti i componenti ho tutti i permessi a posto e sinceramente ormai non so più come fare.
I miei siti non sono defacciati come quelli che ho visto, ma comunque sono stati attaccati con attacchi di tipo flood.
Sono molto preoccupata, in generale, perchè ultimamente uso joomla per tanti siti, e ho i capelli ritti in testa al solo pensiero che comincino a partire tutti, uno per uno.
Voi, sinceramente, pensate che siano problemi del CMS o problemi di chi gestisce il server?
-
Anch'io mi ritrovo col sito defacciato.
Ora, a parte che debbono essere loro a ripristinare il tutto, quello che mi preoccupa di più è il fatto che non riesco ad aprire alcun ticket.
Se cerco di loggarmi dalla loro homepage, all'url <http://www.joomlahost.it>, mi si dice che le mie credenziali non sono corrette e che, essendo al terzo tentativo(!!!), il mio account viene disabilitato.
Anche a voi capita la stessa cosa?
Burroughs.
-
Un defacement può derivare da molti fattori, non ultimo la configurazione del webserver.
-
tutti i domini su 81.31.151.26
danno, da quanto vedo io, 500 internal server error
-
Leggendo dalla pagina del defacement:
uid=0(root) gid=0(root) groups=2524(psacln)
Sono root su quella macchina e il gruppo psacln mi ricorda tanto qualcosa legato a plesk.
In questi casi la soluzione è quella di ripristino dei dati da un backup sicuro su una macchina pulita e aggiornata, poi analisi approfondita sulla macchina bucata.
-
Il casino lo fa' solo joomlahost è colpa loro e basta, visto che anche semplici siti html e con altri cms hostati sul loro server sono stati defacciati, non è colpa certamente di joomla....si' magari ce lo daranno a pensare...
-
Non ne sarei così sicuro, magari l'accesso ai defacer è stato causato proprio da una vulnerabilità presente su qualche vhost, difficile dirlo.
Certo è che la macchina ora è sicuramente compromessa.
-
STOOOOOOP!!!!!!!!!!! ;D
Allora, ribadiamo:
1) Su questo FORUM è VIETATO fare riferimenti a prodotti COMMERCIALI.
Finchè si parlava di Joomla ok, ma non è corretto fare riferimenti all'hosting..
alla prossima chiudo il topic, e non voglio farlo..
confido nella vostra intelligenza (ho 2 siti down anche io e so cosa vuol dire, per fortuna il mio blog è su altri lidi ;) )
-
sembra che qualcosa si stia muovendo, i miei siti attaccati stanno pian piano tornando visibili
-
E' tornato in vita anche il mio...
Avevo sostituito tutti gli index.* ma non era servito.
Per fortuna era saltato solo un sito di quelli che avevo sullo stesso hosting.
Se tutto torna a funzionare bene direi che per l'entità dell'attacco quelli dell'hosting incriminato se la stanno cavando benino. Parlo da niubbo e per niente esperto del settore.
-
Io ho sei dominio con il plesk sul .26
Sto controllando via FTP ora uno dei domini e ho notato alcuni file modifica in data di oggi (e io oggi non ho fatto nessuna modifica):
I file modificati, almeno nella cartella principale sono:
- configuration.php modificato il 10-02-2008 alle 6.06.00
- frosty.html modificato il 10-02-2008 alle 18.41.00
Questo frosty. html ha come proprietario
root root
mentre tutti gli altri file e cartelle hanno il mio user ftp e psacln che mi pare di capire sia l'utente del plesk
Il contenuto di questo file è il seguente:
h4ck3d by t3h fr0st3y h4ck3r! b4ck ag3n w1th uid=0!
-
Come ha fatto notare Bettinz, questa discussione dovrebbe risiedere sul forum di joomlahost.
-
Ragazzi anche io sono stato vittima di questo attacco al server in cui è caricato il mio sito, cmq la mia homepage è ritornata visibile anche se ancora nn riesco ad accedere al pannello amministratore e al forum. In ogni caso l'importante è che qualcosa si sta muovendo e che stanno cercando di rimediare al problema. Speriamo che riescono a ripristinare tutto nel minor tempo possibile.
-
io ho aperto un tichket sei ore fa...ma il sito è ancora oscurato purtroppo :(
-
Scrivete sul forum di supporto di joomlahost, che non è questo...
-
Scrivete sul forum di supporto di joomlahost, che non è questo...
Ciao a tutti, chiederei ai mod di bloccare il post (ma di non eliminarlo) perchè non ha senso che i nostri utenti vengano a lamentarsi sulle boards della community.
Come ha detto giustamente Luca, questo NON è e NON deve essere anche il forum di JoomlaHost.
Sul nostro sono presenti due o tre discussioni sulle quali potrete continuare a scrivere.
Ad ogni modo il siti sul .33 e sul .36 sono tornati up da poco.
Sul .26 ci stiamo lavorando.
Appena mi sarà possibile scriverò un comunicato che manderemo via mail e verrà inserito sul nostro forum.
Grazie per la disponibilità
-
In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.
L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.
Auguro buon lavoro a Carlo.
-
In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.
L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.
Auguro buon lavoro a Carlo.
Era più che altro per non generare dispersione e confusione.
Vorrei solo si capisse che non vogliamo insabbiare la questione, ci mancherebbe, ma avere un unico punto (possibilmente il nostro forum visto che il problema è del nostro servizio e NON della community) può facilitare il lavoro di tutti: dei clienti che vogliono lamentarsi, sfogarsi, avere info e nostro (per leggere gli sfoghi, rispondere alle domande, etc).
Grazie per il buon lavoro e chiudo qui il mio intervento su joomla.it per questa questione.
-
In queste situazioni credo sia abbastanza normale cercare aiuto in tutti i posti possibili, anche se questo non puo' arginare l'eventuale problema.
L'unico posto dove attualmente potete trovare risposte è appunto il forum di joomlahost.
Auguro buon lavoro a Carlo.
Era più che altro per non generare dispersione e confusione.
Vorrei solo si capisse che non vogliamo insabbiare la questione, ci mancherebbe, ma avere un unico punto (possibilmente il nostro forum visto che il problema è del nostro servizio e NON della community) può facilitare il lavoro di tutti: dei clienti che vogliono lamentarsi, sfogarsi, avere info e nostro (per leggere gli sfoghi, rispondere alle domande, etc).
Grazie per il buon lavoro e chiudo qui il mio intervento su joomla.it per questa questione.
Ciao Carlo hai perfettamente ragione.
Mi scuso per aver aperto quaesta discussione, non ho mai parlato dell'hosting in questione. Ho perso un pò la pazienza e mi sono sentito distrutto per il possibile lavoro perso.
Mi scuso ancora ma la discussione ha perso il filo e come diceva Ste fin dall'inizio doveva nascere nel forum di supporto.
Scusate ERRORE mio.
-
IMHO non ti devi scusare...
Io ho scoperto degli attacchi leggendo il tuo messaggio, per cui sono riuscito a mettere a poste le cose per tempo.
Se lo avessi dovuto fare domani, con tutti gli altri impegni che ho, avrei avuto delle grosse difficoltà.
-
Bene, si può chiudere il topic credo, in quanto potete usare il forum del provider di hosting citato precedentemente da Carlo.