Autore Topic: Disastro totale. Bucato x la 2a volta  (Letto 5944 volte)

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #20 il: 08 Mag 2014, 21:35:33 »

Gli attacchi sono stati fatti sul .../administrator/index.php


e cosa c' scritto nel file error.php
e nel componente redirect ci sono le solite porcherie?
avevi delle capcha li dove servivano?

comunque vedo che non ti interessa risolvere il problema, salutiamo.
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #21 il: 08 Mag 2014, 21:44:29 »
Da quello che mi dico ci sono stati una serie ti tentativi (immagino che siano i numeri tra parentesi, che ho tralasciato)

cpu_min: 65.92, ram: 428880.04 MB, disk_read: 0.05 MB, disk_write: 0.15 MB.
cpu_min: 0.45, ram: 2629.45 MB, disk_read: 0.09 MB, disk_write: 0.01 MB.
cpu_min: 0.37, ram: 1944.46 MB, disk_read: 0.04 MB, disk_write: 0.01 MB.
cpu_min: 0.33, ram: 1574.6 MB, disk_read: 0.8 MB, disk_write: 0.0 MB.
ram: 86.55 MB, disk_read: 1.35 MB, disk_write: 0.08 MB.
cpu_min: 0.00, ram: 3.27 MB, disk_read: 1.19 MB, disk_write: 0.36 MB.


Poi mi dicono che provengono tutti dalla index.php


Quindi o sistemo o me ne vado. Ho sistemato (spero). Vediamo nei prossimi giorni.




Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #22 il: 08 Mag 2014, 21:47:08 »
Poi mi dicono che provengono tutti dalla index.php

mi pare abbastanza..
sono spammer, soliti volgarissimi spammer di m.
dai una letta a questo..

http://forum.joomla.it/index.php/topic,241026.0.html
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #23 il: 08 Mag 2014, 22:11:36 »
Letto. Non direi dei veri e propri hacker.
Comunque si, cos. Il file error.php di 1,5 mb e c' una sfilza di autenticazioni fallite


Quindi basterebbe impostare un numero massimo di tentativi, con un tempo massimo incrementale, tra un tentativo e l'altro. Poi bloccare l'IP a x tentativi.


Ma il file error.php posso eliminarlo?

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #24 il: 08 Mag 2014, 22:28:49 »
pulisci il sito ed usa htaccess

quelli sono spammer,  sia chiaro,  spammer che cercano spazi da riempire con le loro stringa di m.


PS
gli ip li trovi nel file errop.php
ammesso e non concesso che riesci ad aprirlo se cos grande..

PPS
e nel componente redirect che ci trovi?
« Ultima modifica: 08 Mag 2014, 22:30:28 da 56francesco »
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #25 il: 08 Mag 2014, 22:32:11 »
dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos   (forse portato proprio alle sue macchine)  si mette a cacciare via i suoi clienti paganti.
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #26 il: 08 Mag 2014, 22:44:52 »
in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin



Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #27 il: 08 Mag 2014, 22:46:40 »
dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos   (forse portato proprio alle sue macchine)  si mette a cacciare via i suoi clienti paganti.




Si, per l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.
Piuttosto non pensavo che dopo 3 volte che sei vittima, ..."sei fuori" [cit.]. Non so se nelle condizioni previsto il rimborso, almeno del restante.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #28 il: 08 Mag 2014, 22:53:30 »
in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin

nel componente stesso
da pannello amministrazione di joomla apri il componente redirect  normalmente..

se pieno di monnezza  cestina 50 elementi per volte, poi quando hai finito  apri il cestino e li elimini definitivamente 50 per per volta
ricorda 50 per volte, ci vuole pazienza..
io ci ho messo almeno 2 giorni (e notti) per ripulire la macchina  (ho una macchina dedicata)  ed era tutta attaccata dallo stesso spammer...
purtroppo un killer costa troppo, altrimenti..
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #29 il: 08 Mag 2014, 22:56:13 »
In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.





Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #30 il: 08 Mag 2014, 22:57:26 »
Si, per l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.
ho detto simile,  fatto sta che come dice questo utente  ci sono le potenzialit per bruciare anche il processore del server...
non ci vuole molto a trovare tutti i domini di uno stesso ip  e attaccandoli progressivamente la macchina  entra in tilt
quindi  probabile che la vittima fosse proprio l'hoster

ho letto di macchini con dispositivi antiping  credo che sia riferito a questo tipo di attacco,  ma ripeto non sono attacchi questo il normale lavoro dello spammer  e joomla presta il fianco alla grande.

(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #31 il: 08 Mag 2014, 22:58:11 »
In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.

non via ftp
entra in amministrazione
guarda in alto
men componenti
redirect
ci clicchi su..
e scopri una cosa nuova.
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #32 il: 08 Mag 2014, 23:03:36 »
Terribile. Vedo che qualcuno ha provato anche con /cpanel, che non uso.
Immagino che posso eliminare questi log...


Ok. Disattivato plugin

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #33 il: 08 Mag 2014, 23:08:37 »
Ok. Disattivato plugin

furbo tu...
 :D :D
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #34 il: 09 Mag 2014, 07:42:15 »

ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #35 il: 09 Mag 2014, 12:18:40 »
ciao mmeloni
basta rileggere quanto scritto finora.

per inciso, ho provato ad aprire un file error.php  con il mio computer, ti risparmio la marca, doppio processore, 3 giga di ram, nella partizione ubuntu e quindi con gedit,  bene si accesa la ventola del processore e mentre solo apriva quel file  la ventola ha progressivmente aumentato la sua azione, significa che la temperatura saliva, giusto?

una volta aperto il file era impossibile navigare il testo,  per leggerlo dopo diversi tentativi sono andato ad intuito, quindi ho evidenziato il messaggio  "non hai un account e non hai una passoword"  (vado a memoria comunque quello) e quindi ho fatto crl h  cio, trova e sostituisci con  .... campo vuoto cio niente,   solo dopo tale operazione il file si allegerito di tantissimo ed ho potuto leggere gli ultimi ip 
se ti pare una favola, vieni qui che ti presto il necessario per verificare..

« Ultima modifica: 09 Mag 2014, 12:35:46 da 56francesco »
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

mau_develop

  • Visitatore
Re:Disastro totale. Bucato x la 2a volta
« Risposta #36 il: 09 Mag 2014, 12:31:14 »
...guarda che cos non puoi affrontare un problema di sicurezza...
ripeto che questo post ci sta tutto ma come psicodramma.

Con un rapporto come dici di avere con l'hoster difficile risolvere problemi sia che siano tuoi che suoi; forse questa la prima cosa da considerare.

Poi bisognerebbe capire che cosa vuol dire sovraccarico.
Ogni richiesta lecita o non lecita, malformata, brutta, in aramaico antico hai una risposta dal server quindi basta che io ti floddo di richieste che per loro "sovraccarico"?
se cos non ti salvi pi ..almeno l

..dai... ci riprovo..

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #37 il: 09 Mag 2014, 12:38:43 »
M_W_C  da quanto navigo in rete il massimo del minimo stato sempre considerato il quotarsi da soli..
un errore di  sbaglio o ti sei davvero quotato da solo?   :)
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline aex

  • Abituale
  • ****
  • Post: 1261
  • Sesso: Maschio
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #38 il: 09 Mag 2014, 17:09:29 »
ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?


Niente di tutto questo. Solo il file di log[size=78%] [/size][/size]del redirect destinato ad aumentare e a portare via spazio[size=78%][/size][size=78%].[/size]
Attacchi sequenziali direttamente sulla index, che fanno lavorare troppo il server, col rischio di essere bannati in modo permanente, in seguito a violazione dei termini di servizio

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Disastro totale. Bucato x la 2a volta
« Risposta #39 il: 10 Mag 2014, 09:41:08 »
allora riepiloghiamo:

/administrator/index.php
hai detto che lo/hacker avevano registrato dei loro utenti, ergo scontato che troverai un sacco di  tentativi di accesso alla pagina di login, prima tenteranno qui, poi tenteranno di ripetere l'hack. per bloccare l'accesso alla pagina bastano quattro righe di codice: due in php e due in .htaccess. ne trovi in giro diverse versioni, ve ne una anche sul mio sito, spiegata e commentata, magari ti aiuta a capire un po' come funziona la sicurezza.

com_redirect
qui trovi le pagine non trovate, non gli hacks, se non i tentativi degli imbranati. disattivarlo non d niente in pi dal punto di vista della sicurezza, ma pu far perdere dal punto del seo. comunque inevitabile che si riempa di schifezze; io una volta ogni due mesi verifico e pubblico le routes  valide e poi cancello le altre direttamente con una query sul db, questo per dirti quanta spazzatura c' dentro. nota comunque che 20/30mila righe non sono nulla per un db...

attacchi sequenziali
bisognerebbe vedere il tipo di attacco, ma probabilmente il mio plugin (http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731), con il blocco degli ip, ti potrebbe essere di aiuto. sulla index non dice niente, in joomla /index.php l'entry point di ogni richiesta, salvo che per gli hack basati su jce...

per una analisi specifica devi vedere i logs di apache, sono gli unici elementi validi per una analisi seria del tipo di attacco.

ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

 

Host

Torna su