Post

1

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 09 Ago 2012, 19:58:40 »

Aspetta Tomtom tu non hai visto quello che ho visto io:





credo sia superflua ogni osservazione... tra l'altro mi è sembrato un ottimo tool... non ho resistito alla tentazione di fare un giro... 


Avevate proprio ragione voi comunque... sono entrati da altri siti dello stesso provider... e la lista di centinaia di siti non è altro che l'elenco dei clienti del mio provider  ...


Il caso è risolto... vi ringrazio tutti per il prezioso aiuto e ringrazio anche me stesso per aver insistito con l'analisi del log, solo così ho potuto veramente scoprire che cosa è successo, come è successo e cosa fare per rimediare, questo era quello che consideravo la vera priorità...


Alla prossima 


Una piccola aggiunta: a proposito di ottimi tools, cercando informazioni sul forum inglese ho trovato l' FPA o Forum Post Assistant... un file php che si carica sul server e ti da un utilissimo report sullo stato del tuo sito, incluse tutte le impostazioni del server ed eventuali segnalazioni di vulnerabilità... il tutto poi si può copiare e incollare in un post che viene fuori anche ben formattato... ottimo strumento per avere in pochi secondi un resoconto completo sulla situazione globale sito/server/estensioni ecc. che può essere molto utile per capire e prevenire.


Mau forse si potrebbe aggiungere alla lista delle cose da fare in caso di attacco? Sono sicuro che potrebbe essere molto utile... scusa se forse già c'è invece, ho letto la lista un po' frettolosamente, spero che capirai... ero preso dai turchi!!!

2

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 09 Ago 2012, 01:51:24 »

Ragazzi ho cattive notizie...


Analizzando nel dettaglio i log di accesso al sito ho trovato un url strano... l'ho copiato ed incollato per vedere dove mi avrebbe portato e ho scoperto qualcosa di veramente apocalittico...


Io lo sapevo.... il turco ci sa fare!!!


Sono arrivato ad una pagina di un sito anch'esso con la pagina iniziale hackeata da questo che si firma web mause, la cosa più grave è la pagina... praticamente è una lista di centinaia (se non migliaia) di siti ognuno con il nome utente dell'hosting e un symlink, cliccando sul quale si vanno a vedere tutti i file contenuti nelle directory dei rispettivi siti!!!.. poi in alto c'è un menu, deve trattarsi di qualche hacker tool....

qui la cosa si fa grave...

Scusate avevo allegato un'immagine ma credo sia meglio toglierla.

3

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 23:21:58 »

e se fossi io uno dei primi? con la fortuna che ho...


google "hacked by webmouse" e vedi cosa ti da... per me è negativo    ... nel secondo risultato mette addirittura la musica di sottofondo

4

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 22:35:00 »

Mau quando parlavo di turchi... in realtà mi riferivo agli hackers



Comunque credo che il mio hacker personale (ormai è un mio cliente affezionato, visto che è tornato già 3 volte) sia proprio turco, la prima volta è stato così gentile da lasciare nella mia index.php la sua mail, i saluti e un link ad un sito, una qualche forma di comunità di hackers, con tanto di lista aggiornata dei siti sverginati quotidianamente, tra cui il mio... si vantavano i galletti... li tutto è scritto in turco, quindi credo che si tratti proprio di gente di quei territori ostili...


Però scrivendo scrivendo mi è venuta un'idea: che siano turchi o il tipo del piano di sopra, se il loro ip esce dalla turchia, non posso restringere l'accesso al sito e proibirlo a famiglie di ip turche?
Forse potrebbe essere una soluzione temporanea? Tanto non mi interessa che sito sia visto in turchia, anzi è meglio che non lo sia... 


Non mi voglio però distaccare troppo dall'essenza del mio post... capisco che le possibili cause di tutto questo possono essere molteplici, server configurati male, siti dei vicini di casa programmati alla sanfrason e soprattutto io che non sono un esperto di sicurezza, proverò, come già consigliato, a chiedere spiegazioni al provider...

Però se ci allontaniamo un attimo e guardiamo il tutto dall'alto della nostra montagna, potremmo riuscire a vedere le cose più chiaramente... il log dice che un ip localizzato in turchia ha provato per circa un'ora a richiedere la pagina administrator/index.php del mio sito 4 volte al secondo... io questo lo interpreto come un attacco deliberatamente diretto e intenzionale contro il mio sito e non un "passare dal server usando qualche altro sito"... è per questo anche che chiedevo se qualche esperto potesse esaminare il log per cercare di approfondire la topa... ehm... la cosa 

la 2.5.6 non ha vulnerablità note (..o quasi)... è quel quasi che mi preoccupa... e poi non sono note fino a quando non vengono scoperte, ma non è detto che non ci siano, tra l'altro stento a credere che questa versione di joomla, anche se un lavoro ammirabile, possa essere definitivamente diventata impenetrabile... quindi sulla base di tutto ciò vorrei stimolare chi è capace per cercare di indagare su quello che sta accadendo, è importante capire al più presto!


Vi lascio la buonanotte... anche in turco: iyi geceler

5

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 18:28:50 »

Jecko scriverò al provider per chiedere informazioni.


Mau:

..distrutto mezzo sito che vuol dire..vedevi tutto a metà? qualcosa non funzionava? da cosa deduci che ha cambiato le password del db? ...da quel view reset? ..mica funziona...

Mi riferivo al secondo attacco, mi hanno cancellato la directory administrator, sovrascritto e modificato cartelle e file con aggiunta di virus o comunque file malefici... forse con il reset ero fuori strada, avevo visto un tutorial su come poter hackeare la password da amministratore... 

Guarda gli altri siti sul server come stanno e visto che era un joomla pulito sovrascrivi tutto e sei a posto... previa scansione av

Ma... sovrascrivere o cancellare tutto ed eseguire un'installazione pulita senza prendere altre precauzioni non significa forse consegnare il sito di nuovo in mano ai turchi???

Proverò a chiedere spiegazioni al provider e magari un cambio di server... per vedere gli altri siti su quel server credo che dovrò chiedere sempre al provider (visto che io non li conosco)...


Grazie ancora a tutti

6

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 18:13:04 »

Ciao Tomtom e grazie anche a te,


credo che finirò per osservare il tuo consiglio, tra l'altro essendo ancora vuoto il sito non sarà una migrazione difficile... volevo però fare una considerazione:


dopo il secondo attacco ho cancellato tutti i file dal server ed ho inserito una pagina statica "in costruzione" (index.html - unica pagina presente sul sito) che non è stata toccata per un po' di tempo... dopo aver installato joomla invece il problema si è presentato di nuovo, per questo sono portato a pensare che si tratti di una forma di vulnerabilità in Joomla più che del server o altri siti... anche se potrebbe solo essere una coincidenza... mmmh... proverò a chiedere il cambio di server 


A presto e grazie ancora

7

Sicurezza / Re:Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 17:53:08 »

Ciao Jecko,


prima di tutto grazie per il tuo aiuto!



Quando dici di aver cambiato le password di che password parli? Ho creato nuove password per il db e per Joomla (il nome utente del db è rimasto uguale).


Hai completamente resettato/ripulito lo spazio web? Si, ho cancellato tutti i file nella directory principale (e ovviamente tutte le sottocartelle, cancellato completamente il db e reinstallato Joomla ultima versione su uno spazio web immacolato (almeno credo...)


Hai controllato che non esistano dei cron-job (cioè delle operazioni pianificate) che ogni tanti minuti provino a lanciare qualcosa? questo no l'ho fatto, ci provo ora!

Hai cambiato tutte le password? (intendo FTP, pannello di controllo, database e tutto il resto) Ho cambiato quella del db e di Joomla solo, a dire il vero l'ftp e il pannello di controllo no (anche perchè nel pannello ho una funzione per vedere l'ip dell'ultimo accesso e risulta essere sempre il mio, da qui posso capire se qualcuno è entrato nel pannello di amministrazione)

Proverò a controllare le operazioni pianificate...


Anche tu da quello che ho scritto hai notato che la situazione non è delle migliori vero? In realtà posso capire che sistemi mal configurati possono dare luogo a vulnerabilità, ma senza estensioni/plugin/template di terze parti, con l'ultima versione di joomla e register globals off pensavo di poter dormire un po' meno agitato (ormai la parola tranquillo l'ho rimossa dal mio vocabolario )


PS: Non vorrei che siano riusciti ad entrare ancora più su di quanto penso, immagino che solo il provider può cercare di capire se si sono limitati alla directory del mio sito o peggio... 


A presto, grazie ancora! 

8

Sicurezza / [Risolto] Joomla! 2.5.6 hacked 3 volte in un mese!

« il: 08 Ago 2012, 17:16:30 »

Cari Amici, come da titolo ho questo fastidioso hacker turco che mi sta tormentando...

Ho letto il post iniziale di Mau (che ringrazio) e anche altri prima di scrivere ma credo che devo farlo perchè almeno parte dei passaggi indicati per me non sono applicabili (in quanto è un sito in costruzione e non ha ancora senso ripristinare un back up ed è l'ultima versione di Joomla).

L'anomalia (almeno credo) è che si tratta di una nuova installazione di Joomla 2.5.6, senza alcuna estensione (solo quelle di default), con file .htaccess + register globals off + sito offline + template predefinito! Eppure continua ad entrare e fare danni... cose turche!!!

La prima volta mi ha cambiato le password, la seconda mi ha distrutto mezzo sito ed ha inserito virus e codice malefico e la terza mi ha cambiato solo le credenziali di accesso (credo/spero).


Ho cancellato l'intero sito, il db, cambiato le password, ma niente... riesce sempre ad entrare...


A questo punto non so più cosa fare, ho a disposizione un log (nel cpanel), c'è qualcuno che mi può aiutare a capire come ha fatto ad entrare e quindi dove intervenire?


Ecco parte del log:

Codice: [Seleziona]

217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:34 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 200 4110 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
217.131.162.133 - - [18/Jul/2012:18:43:35 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
Vedo che il 18 luglio l'ip incriminato (che è localizzato a Istanbul) ha richiesto (o postato - scusate l'ignoranza in materia di sistemi) la pagina index.php della directory "administrator" per ben 4 volte in un secondo... ed è andato avanti così per circa un'ora... stava forse utilizzando un programma fino a quando non è riuscito ad entrare?

Poi sempre dal log vedo che è stata richiesta la pagina:

Codice: [Seleziona]

66.249.72.183 - - [31/Jul/2012:14:10:28 +0200] "GET /index.php/component/users/?view=reset HTTP/1.1" 503 2790 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
ma come dice anche il log questo dovrebbe essere google che effettua la scansione delle mie pagine giusto? (anche se mi sembra strano il fatto che google richieda proprio questa pagina che è utilizzata dagli hackers per resettare la password e di conseguenza entrare nel sistema)...

Credo sia importante riuscire a capire come riescono ad entrare.

Ogni altro consiglio e suggerimento è ben accetto.

Scriverò all'hosting provider di nuovo (hanno impostato register globals su off solo in seguito a mia segnalazione, dopo il secondo attacco).

Alcune informazioni supplementari che potrebbero essere utili:

Ho un piano di hosting virtuale con le seguenti specifiche:

Apache version 2.2.22
PHP version    5.3.10
MySQL version    5.0.95

Grazie a tutti e buon lavoro