Sito 'sfegiato': da dove saranno entrati?

[Bigne Erosivo]

Salve, stamattina ho scoperto che il sito di cui mi occupo è stato 'defaced'. Ok, un index.html temporaneo e poi nel pomeriggio ho trovato l'ultimo backup e via: ora è tutto a posto.
A questo punto suppongo sia saggio, magari parlando col mio hosting, cambiare password, però non riesco a capire 'quali' esattamente. Ok, sicuramente se hanno avuto accesso alla cartella ftp e al file di configurazione possono conoscere utente e pass del dbase. E poi? Cosa è ragionevole pensare che abbiano potuto 'carpire'? Nella home del mio hosting ci sono altri siti (moodle e altri scrpt): possono aver visto tutto o sono rimasti 'confinati' nella cartella di Joomla?
Infine... c'è modo di capire dove sia stata la falla?
Andando a controllare mi sono accorto che (mea culpa) la mia installazione di Joomla era rimasta un po' indietro, alla 1.5.14  ;  ora sto aggiornando tutto.

Il punto è basta la presenza della 1.5.14 a spiegare il 'portone' rimasto aperto, o devo cercare tra gli script agiuntivi che ho installato? C'è un metodo per cercare da dove sono entrati? Volendo ho i log dei collegamenti al mio spazio: potrebbero essere utili?

Grazie di tutto!

Bignè Erosivo

[56francesco]

le credenziali è buona norma cambiarle tutte, ftp e database compresi, in certi casi ogni tre mesi è un obbligo preciso.

sposto nella sezione sicurezza

[mmleoni]

ciao Bigne Erosivo,
  più che dall'ftp di solito entrano sfruttando falle di joomla e dei componenti; ad esempio con i joomla pre 1.5.16 e ck forms pre 1.3.4 era molto facile l'hacking del sistema tramite la modifica alle credenziali di accesso.

hai lasciato il prefisso delle tabelle a jos_? fai una una ricerca del prefisso nei log.

verifica anche l'aggiornamento di tutte le estensioni.

ps: ricordati che prima di ripristinare bisogna

1: backup
2: cancellare tutto

perché se ricarichi il back up in ftp non cancelli eventuali cavalli di troia lasciati sul server.

ciao,
marco

[miao]

perché se ricarichi il back up in ftp non cancelli eventuali cavalli di troia lasciati sul server.

ciao,
marco

cosa/come consigli allora...??

se non puoi usare un backup dei file   !!
grazie

hai lasciato il prefisso delle tabelle a jos_?

In un db già in uso come si fa a cambaire Jos_  in altro prefisso

grazie

[mau_develop]

l'unica cosa che dice a joomla qual'è il prefisso delle tabelle sta nella configurazione, basta cambiare quello, oltre a fare la stessa cosa per ogni tabella mysql.

Quando non si sa come controllare i files è meglio sovrascriverli, facendo attenzione che se abbiamo aggiunto "pezzi" quelli non verranno sovrascritti e se si vuole conservarli in sicurezza bisognerà esaminare a mano file per file.

M.

[miao]

oltre a fare la stessa cosa per ogni tabella mysql.

grazie

una ad  una ??  o c'è un modo per farlo  tutte assieme

[mau_develop]

se conosci il "linguaggio" mysql fai tutto con una query altrimenti a manina una per una.

puoi anche fare qualche ricerca con google, sicuramente c'è chi l'ha fatto prima.

fai sempre un backup prima di toccare il db.

M.

[miao]

Forse non è il post adatto  (  se si reputa il caso splittiamo)

ho rinominato tutte le tabelle un ad una  da Jos_  a New_

ma facendo dump del db è cercando Jos_ ho trovato

-- Struttura della tabella `new_core_acl_aro`
--

  UNIQUE KEY `jos_section_value_value_aro` (`section_value`(100),`value`(100)),
  KEY `jos_gacl_hidden_aro` (`hidden`)) ENGINE=InnoDB  DEFAULT CHARSET=utf8 AUTO_INCREMENT=36 ;

e cosi anche inn altre 2 tabelle

Struttura della tabella `New_core_acl_aro_groups`
  KEY `jos_gacl_parent_id_aro_groups` (`parent_id`),
  KEY `jos_gacl_lft_rgt_aro_groups` (`lft`,`rgt`)

Struttura della tabella `New_core_acl_aro_sections`
 UNIQUE KEY `jos_gacl_value_aro_sections` (`value`),
  KEY `jos_gacl_hidden_aro_sections` (`hidden`)


penso invece che convenga  modificare Jos_  con new_  con un trova e sostituisce dopo aver fatto il dump

ma attendo conferme grazie

[carlodamo]

le credenziali è buona norma cambiarle tutte, ftp e database compresi, in certi casi ogni tre mesi è un obbligo preciso.

Sono in completo disaccordo!

Io credo che occorre iniziare fin da subito ad usare password MOOOOOLTO forti. Il continuo cambio può creare inutile confusione, specialmente oggi che dobbiamo maneggiare un numero elevato di nomi utente e password.

Un saluto

[mmleoni]

@ciao

se non puoi usare un backup dei file !!

scusa sono stato poco chiaro, puoi usare il backup, ovviamente quello fatto in precedenza, ma prima cancelli tutto. ripeto: massima attenzione!

il backup, inviato in ftp, sovrascrive i file che sono stati modificati, ma non cancella quelli aggiunti!
per questo non è sufficiente solamente il ritrasferire i files originali.

ciao,
marco

[Bigne Erosivo]

Salve, riscrivo dopo qualche giorno dall'attacco. Ora tutto è ripristinato: con un backup recente passa molta della paura!
Volevo ringraziarvi per i preziosi consigli e devo dire che quanto accaduto ha avuto un merito: farmi scoprire il mondo della sicurezza su Joomla: non avevo mai messo piede in questa area del forum... purtroppo. Ora ho cominciato a farmi una cultura e ad individuare piccoli accorgimenti per incrementare significativamente la sicurezza del sito.
L'ideale, per proteggere il proprio sito, sarebbe di avere competenze da 'pirata', così da poter vedere la cosa dal punto di vista del 'nemico'. Il punto è che, suppongo, non esistano corsi online su come scassinare un sito! 

In ogni caso, dopo tutte le precauzioni... resta sempre lo strumento del backup: male che vada, si può ripartire!

Saluti e grazie a tutti!

Bignè Erosivo

[mmleoni]

immagino che non sarò il primo a dirti che il buon poliziotto deve saper pensare da ladro 

Il punto è che, suppongo, non esistano corsi online su come scassinare un sito!

fai una ricerca sui motori (meglio in inglese) e vedi quante ne trovi!!

ciao
marco

[mau_develop]

con un backup recente passa molta della paura!
-----------------------------------------------
ecco, qs andrebbe messo <h1> al posto del cartellino verde in testata.
non c'è nulla di più bello che vivere senza pensieri

Il punto è che, suppongo, non esistano corsi online su come scassinare un sito!
---------------------------------------------------------------
colgo l'occasione per riaffermare un principio che è un po' che non tiro fuori dal cilindro.

Molti pensano all'hacking come a qualcosa di sinistro, di oscuro, quasi una conoscenza a se, un mondo alternativo all'informatica fatta per "fare del bene".

Sarà colpa di Matrix, sarà colpa delle leggende sarà colpa di di troppisfigati che cercano di riciclarsi come hacker, ma questa visione è completamente distorta.

Perchè? perchè appunto vedi come fine ".... corsi online su come scassinare un sito!".

Certo non esistono, o esistono i copia e incolla di ragazzini che non capiscono nemmeno cosa stanno facendo.

Uno dei migliori manuali di hacking è su php.net

Scommettiamo che se tu sai smontare e rimontare a memoria un distributore di bibite, sai anche come prenderne una e non pagare?
Qualsiasi ottimo programmatore potrebbe se volesse essere un ottimo hacker.

Si è tirato in ballo la criminalità e forse un po' ci sta, ma il fine non è criminale ma puramente culturale. Ti violo il server solamente per dimostrare (a me) che ci riesco, ma non spacco, copio o rubo nulla; c'è chi trova gusto a scalare una parete per il gusto di conquistarla e a me viene di farlo col codice.

Se giri in rete trovi parecchi forum hackers che con l'informatica non centrano nulla, puri manuali delinquenziali e condivisione di crimini e noia.
Ma i forum hackers seri esistono, e sono quelli dove le parole hacker, bucare, defacciare etc non esistono, solo che risultano noiosi a chi vuole tutto e subito.... la stringa da incollare per avere la pw del sito...
Sono noiosi perchè si parla di informatica, forse la stessa che a scuola non vuoi studiare...

Poi non deve mancarti un certo senso di "pazzia"; quella che ti fa passare le notti per dimostrare qualcosa che alla luce della ragione non ha un senso.
Un aneddoto: la famosa storia dei server iraniani "seduti" per settimane è stata portata avanti, contrariamente a ciò che si può pensare, sfruttando una sicurezza e non una falla ma al fine dell'utente il risultato era lo stesso "This server is temporary unavailable"

M.