Back to top

Autore Topic: joomla facilmente bucabile ?  (Letto 1995 volte)

Offline elena_b

  • Esploratore
  • **
  • Post: 81
    • Mostra profilo
joomla facilmente bucabile ?
« il: 18 Apr 2011, 18:23:46 »
Buongiorno al gruppo.

Purtroppo due dei siti che ho costruito con joomla sono stati compromessi.
in entrambi i casi sui siti son presenti delle directory da me mai
uploadate, contenenti files che provocano il fenomeno di phising. Per la
precisione tale malware si spaccia per la nota carta di credito "cartasi", e
genera delle mail che chiedono le credenziali delle carte.
La directory malevola e' " cs " , presente nella root dei domini.
All'interno di " cs " vi sono immagini della compagnia cartasi, files di testo
contenenti indirizzi ip, un files di testo contenente le credenziali
illecitamente acquisite, ed altro. Per fortuna nessuna di queste credenziali appare
vera, tutti coloro che hanno risposto alle mail di phising han capito la truffa
ed han risposto con dati fasulli (ed anche qualche insulto :-( ).
In entrambi i casi i siti sono in hosting da aruba. La versione di joomla
compromessa e' 1.5.15, non recentissima quindi. Credevo di poter stare
tranquillo visto che

- la pass di accesso al dominio e' davvero molto complessa
- la directory http://sito-compromesso/administrator e' protetta da pass
  molto complessa (ma davvero molto complessa)
- la pass di amministrazione di joomla e' ancora piu' complessa ed elaborata
  delle altre due
- l'utente administrator di joomla e' rinominato
- nei siti non sono presenti form di invio, quindi non e' possibile caricare nulla


viste queste precauzioni credevo di essere al sicuro, ed invece ci son cascata.
La domanda che vi pongo e' la seguente: con quale metodo (secondo voi) i malfattori
hanno avuto accesso al dominio? Reputo improbabile che abbiano bucato DUE account
di dominio. Ovviemente le credenziali di accesso son gelosamente custodite su chiavetta usb cifrata,
NON ho memorizzato le pass nei browser.
Adesso ho eseguito i seguenti accorgimenti:

- aggiornato a joomla 1.5.23
- cambiato le pass di dominio
. denuncia alla poizia postale,
- avvisato il provider

voi cos'altro fareste? non posso indicare i siti poiche' i titolari me lo hanno vietato.
Grazie


Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:joomla facilmente bucabile ?
« Risposta #1 il: 18 Apr 2011, 18:29:38 »
cosa ha risposto il provider?
a me sembra che joomla c'entri poco o quasi niente,   avevi qualche estensione terza in entrambi i siti?  le cartellette abusive erano nella root del sito o dentro qualcuna altra?

e comunque nel bene o nel male in questo forum sono proibite le citazioni dei servizi commerciali.

infine, se ci mandi i link ai due siti ci si rende conto meglio di cosa è successo,  qui nel forum intendo, non in privato.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:joomla facilmente bucabile ?
« Risposta #2 il: 18 Apr 2011, 18:46:36 »
ciao elena_b,
la versione 1.5.15 era abbastanza datata, sono usciti molti aggiornamenti di Joomla successivi a quella versione e molti di questi riguardano proprio bug di sicurezza.
E' molto, molto importante mantenere aggiornata la versione di Joomla all'ultima disponibile.

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:joomla facilmente bucabile ?
« Risposta #3 il: 18 Apr 2011, 19:31:13 »
Ciao elena_b,
versioni 1.5.15
è stato quello il tuo problema.

Come già scritto devi tenere sempre i siti joomla aggiornati all'ultima versione, vale anche per qualunque altro CMS, forum di terze parti, etc etc

Poi, magari qualcuno più tecnico te lo spiegherà meglio ma il fatto di avere pass complesse, di rinominare l'administrator sono di aiuto solo contro il pischello di turno, quello che prova ad immettere login e password nell' /administrator del sito.

Stai tranquilla che chi ti ha bucato mica ha usato quel sistema, ha usato una qualche vulnerabilità del tuo joomla 1.5.15  ;)

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline elena_b

  • Esploratore
  • **
  • Post: 81
    • Mostra profilo
Re:joomla facilmente bucabile ?
« Risposta #4 il: 18 Apr 2011, 19:58:32 »
grazie a tutti per le risposte e chiedo scusa se ho indicato il provider , nella foga della scrittura mi son dimenticata.
mi ha risposto il provider dicendo che a loro non risultano accessi sospetti. non gli importa nulla della denuncia da me effettuata e se la polizia postale chiedera' loro lumi ecco che forniranno quanto in loro possesso. corretti ma "freddi".
ora tutti i siti sono a joomla 1.5.23 , il prossimo colpo e' portarli a joomla 1.6 , ma devi riscriverli poiche' mi pare azzardato l'aggiornamento. Per la cronaca , i siti bucati avevano sotto la root " / " una directory " cs " , con all'interno degli script e delle immagini riconducibili ad una carta di credito.  per fortuna tutte le credenziali delle carte di credito son fasulli, quindi direi che nussuno ha rimesso dei soldi.  i link ai siti purtroppo non posso metterli poiche' i titolari me lo hanno proibito.
pero' son risalita all'indirizzo mail ove venivano spediti i dati ottenuti con l'inganno. si tratta di un indirizzo @hotmail.com .
mi piacerebbe capire come han fatto a bucare il sito, accetto indicazioni e consigli, anzi, ora mi creo un sito di test e provo a bucarlo, qui da me, sulla mia lan casalinga. 
chiunque voglia aiutarmi in questo allenamento e' il benvenuto/a

 



Web Design Bolzano Kreatif