Joomla.it Forum
Non solo Joomla... => Sicurezza => : nocchigraf 25 Oct 2008, 09:12:11
-
Stamani ho trovato il sito down a causa di un attacco hacker. Nonostante la versione 1.5.7, che quindi è diventata vulnerabile???
Davide
-
Nonostante la versione 1.5.7, che quindi è diventata vulnerabile.
Non diciamo idiozie, per favore.
Quando uno si prende la briga di fare certe affermazioni dovrebbe essere almeno coscente di cosa comportano.
Piuttosto descrivi le estensioni installate. Sei riuscito a recuperare la passwd di amministrazione?
-
Scusa la mia affermazione, voleva essere una domanda (ho corretto il testo).
Plugin installati: Docman, Community Builder, Database Backup, Control Access Login (disabilitato perchè non mi mandava più la email per confermare la richiesta d'accesso)
Avevo già subito un attacco a fine agosto, ma con la vecchia versione. In entrambi i casi l'hacker (dice) è turco.
Davide
-
ok buon per te fosse una domanda. No non è vulnerabile, molto probabilmente ha sfruttato le vulnerabilità di una delle estensioni installate, anche se al momento non posso essere molto preciso.
Dai un occhiata all'elenco delle estensioni ritenute insicure su Joomla.org.
Avevi mofidicato sia la pass FTP sia la pass d'amministrzione Joomla vero?
-
Sì, semmai definirmi co*****ne sarebbe poco.
Ho anche protetto la cartella "administrator" dal pannelo di controllo dello spazio web
Davide
-
no, io ti chiedo se avevi cambiato user e pass FTP, non di Joomla
-
Cioè tu dici username e password di FileZilla???
Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.
Davide
-
Cioè tu dici username e password di FileZilla???
Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.
Davide
Si unser e pass che usi per conneterti via FTP anche con filezilla
-
Cioè tu dici username e password di FileZilla???
Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.
Davide
Quelli non l'ho cambiati, ma lo faccio subito.
Si unser e pass che usi per conneterti via FTP anche con filezilla
-
10 su 10 che è entrato grazie a quelli, se non li avevi cambiati dall'ultimo attacco
-
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:
Contatti "index.php?option=com_expose"
Cioè è andato a cercare proprio il componente expose...
Voi che ne pensate?
Ciao
-
che ti devi rilassare...soprattutto se non gestisci nasa.gov!
cmq vorrei sapere secondo voi come ha fatto a prendergli le pass dell'ftp!
non sara' mica cosi pirla da lasciarle nel config!
-
cambiare periodicamente le credenziali di accesso (tutte) è ottima abitudine ed è una delle misure minime previste dal cosiddetto codice privacy (se è stato redatto il dps è scritto in chiaro anche li)
imho
in caso di oscuramento e se gli accordi non prevedono che debba farlo il cliente al quale ovviamente devono essere fornite credenziali di accesso ed istruzioni, chi ha commissionato un sito aziendale o commerciale se non sono state rispettate queste elementari norme di sicurezza (e ciò deve essere documentato) potrebbe richiedere un risarcimento alla web agency!
quindi statevi accorti, un attacco non è un evento imprevisto ed imprevedile ma al contrario in rete è la normalità a prescindere dal cms o dall'editor html utilizzato.
-
Non mi fermerei solo a pensare che forse gli hanno sottratto le credenziali FTP, le cause reali secondo me sono ben altre.
Sarebbe carino se elencasse anche le versioni delle varie estenzioni, ancora meglio se accompagnate dai log.
Il cambio di codice puo` avvenire in tanti modi, ve lo garantisco, quindi se ci sono altre informazioni relative ben vengano, altrimenti direi che e` il caso di chiudere il thread evitando di fare cattiva informazione :)
-
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:
Contatti "index.php?option=com_expose"
Cioè è andato a cercare proprio il componente expose...
Voi che ne pensate?
Ciao
l` attacker non e` necessariamente l` ip che tu vedi nei log, solitamente vengono usati proxy o macchine (precedentemente violate) come punti di appoggio per fare run di piccoli applicativi che fanno scanning (tramite i motori di ricerca) con determinate stringhe dei componenti, per poi attaccare direttamente ed includere un codice malevolo.
Anche qui se ci fossero maggiori informazioni potremmo vedere e analizzare il problema.
P.S. io ricevo una media di 30 attacchi al giorno, dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)
-
ciao emgent
mi interessa quando hai detto dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)
e ti spiego il motivo : Il cosiddetto hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto che un sito aveva un link che portava al mio sito hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker ( a top 100 >:() .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito
-
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:
Contatti "index.php?option=com_expose"
Cioè è andato a cercare proprio il componente expose...
Voi che ne pensate?
Ciao
1. dalla nigeria è un proxy
2. probabilmente aveva qualche dubbio sulla stabilità di expose
-
ciao odino
ho riaperto la discussione per questa segnalazione :un hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto che un sito aveva un link che portava al mio sito hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito
-
qualcosa puoi fare, ma ne vale la pena?
-
ciao odino
no non ne vale la pena e poi anche quell'esperienza mi è servita , l'unica tristezza è vedere il loro sito che lo usano come "bacheca dei defacetamenti "