Joomla.it Forum

Joomla! 1.5.x (versione con supporto terminato) => Joomla! 1.5 => : JoomLena 25 Sep 2009, 09:57:37

: Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 09:57:37: Salve ho ricevuto, come amministratore, questo messaggio dal sito che gestisco:

Salve,

è stata inviata una richiesta di reset della password per questo account OKKIO il mensile della Provincia di Trapani . Per resettare la tua password, avrai bisogno di inviare questo codice per verificare che la richiesta sia legittima.

Il codice è xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (ho cambiato io).

Clicca sulla URL seguente per inserire il codice e procedere al reset della tua password.

http://www.okkiosullaprovincia.it/index.php?option=com_user&view=reset&layout=confirm

Grazie.

Premesso che non ho fatto nessuna richiesta di reset password, dopo di che non sono piu riuscito ad entrare comme amministratore nel sito.

Cosa è Successo? ??? ??? ??? ??? ??? ???

Successivamente sono andato nel DB e o resettato la password di amministratore, cosi facendo sono riuscito a rientrare come amministratore e resettare le password. Controllando i dati di accesso al sito l'ip incriminato è: 78.101.235.0 proveniente dal Qatar. Okkio...... :-\

Mi aspetto altri attacchi...
: Re:Attacco Joomla 1.5.14
: carlodamo 25 Sep 2009, 10:04:01: una domanda. avevi per caso come nome utente ADMIN?
: Re:Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 10:08:12: no cambio sempre il nome, e per ogni sito un nome diverso. ;)
: Re:Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 10:09:49: Sto utilizzando un componente, gratuito, IP filters che blocca gli ip sospetti..... ;) lo trovate qua:
http://extensions.joomla.org/extensions/access-a-security/site-access/9390
: Re:Attacco Joomla 1.5.14
: 56francesco 25 Sep 2009, 10:25:55: anche se lo avrai già fatto, è utile ricordare che in casi simili è indispensabile modificare tutte tutte le credenziali di accesso, database ed ftp comprese..
altrimenti potrebbe essere tutto inutile..

e ovviamente fare le copie..
: Re:Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 10:35:25: cmq sottolineo che non ha fatto danni al sito (non avrà avuto il tempo), in questo caso è stato richiesto un reset della password, che nel caso io avessi confermato con quel link, inserendo il codice che io ho nascosto con "xxxxxx", sarebbe pototu entrare con nome: admin e password: admin.

Però un dubbio mi rimane, perchè dopo questa email sospetta che ho ricevuto, io non riuscivo ad entrare come amministratore e non entravo neanche cone nome: admin e password: admin. Mha! >:(
: Re:Attacco Joomla 1.5.14
: 56francesco 25 Sep 2009, 10:39:27: e non entravo neanche cone nome: admin e password: admin.

non capisco.. prima dell'attacco entravi con admin/admin o nella parte quotata ti riferisci al tentativo temporalmente eseguito dopo la procedura illustrata nella guida?
: Re:Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 10:44:57: no ripeto io cambio sempre i dati di accesso. Pensando che era in atto un reset passoword, avevo provato ad entrare nome: admin e password: admin (pensando di anticipare l'intruso) e ripeto la cosa strana è che in nessun caso riusci ad accedere lato admin. ::) ::) ::) ::)
: Re:Attacco Joomla 1.5.14
: carlodamo 25 Sep 2009, 11:19:47: : JoomLena 25 Sep 2009, 10:08:12
no cambio sempre il nome, e per ogni sito un nome diverso. ;)

altra domanda ;)

fammi un esempio di nome utente e password che di solito usi per i tutoi siti.

chiaramente metteli diversi da quelli tuoi ;) ;) ;)
: Re:Attacco Joomla 1.5.14
: JoomLena 25 Sep 2009, 11:23:36: nome: appartamentox&
password: (metallaro£
: Re:Attacco Joomla 1.5.14
: carlodamo 26 Sep 2009, 17:31:43: ok