Autore Topic: Mi hanno forato il sito, ANCORA!!!! (Letto 37559 volte)

zalexo · « **il:** 11 Set 2007, 20:17:52 »

Salve ragazzi sono nella cacca, mi hanno forato il sito. Purtroppo a sicurezza sono zero e non so come risolvere.

Un hacker è entrato su zalexo.it e mi ha modificato la index.php e forse altro, dichiarando il suo attacco.

Poi joomlahost mi ha ripristinato il sito e ho eliminato la componente che dava dei problemi di sicurezza, sh404sef.

Poi però lui è entrato di nuovo.

Ho ripristinato e cambiato l'accesso via ftp.

Ma nulla da fare, joomlahost mi ha chiuso il sito e dato il backup del sito dicendo che devono risolvermi il problema di sicurezza in locale.

Visto la mia scarsa capacità, vi chiedo se qualcuno anche a pagamento può sistemarmi la cosa e trovarmi i problemi di sicurezza.

grazie

gallus · « **Risposta #1 il:** 11 Set 2007, 20:28:33 »

Ma hai una idea del tipo di intrusione?

zalexo · « **Risposta #2 il:** 11 Set 2007, 20:34:43 »

Allora prima erano entrati da sh404sef e mi avevano modificato la home, lo hanno fatto due volte. Il sito dava una semplice pagina bianca con scritto che avevano toccato la tale riga, 100 se ricorso bene si sef404.php.

Sono andato nel sito di sh404sef e anche il loro era stato forato allo stesso modo.

Pagina bianca con la stessa dicitura.

Poi dopo aver eliminato il componente, non entravano più in quel modo, ma modificavano la index.php inserendo in fondo al sito due piccole gif linkate al loro sito.

Così ho fatto modificare la pass ftp da joomlahost.

Sembrava andasse tutto bene ma poi joomlahost mi ha chiuso il sito perchè dicevano che erano entrati ancora e amndavano in overload tutto il server.

boh...

gallus · « **Risposta #3 il:** 11 Set 2007, 20:39:39 »

Ok per il componente, ma sono riusciti ad entrare via ftp prima e dopo che fosse cambiata la password di accesso?

zalexo · « **Risposta #4 il:** 11 Set 2007, 20:42:54 »

joomlahost dice di si, io non ho visto perchè mi hanno disabilitato tutto.

guarda cosa dicono sul sito di sh:
http://extensions.siliana.net/en/2007090865/General/Support-site-unavailable-returns.html

hanno forato anche il loro

zalexo · « **Risposta #5 il:** 11 Set 2007, 20:49:47 »

Dopo che ho cambiato la pass, come cacchio hanno fatto a entrare con nessun componente a rischio su?

Sembra impossibile, l'host non sa dirmi niente e sicuramente fino a domani non li trovo.

Che dite ragazzi?

bobighorus · « **Risposta #6 il:** 11 Set 2007, 21:01:40 »

Credo abbiano lasciato una backdoor da qualche parte...

jv30blu · « **Risposta #7 il:** 11 Set 2007, 21:11:02 »

ma è colpa i joomla oppure dei server???

zalexo · « **Risposta #8 il:** 11 Set 2007, 21:16:32 »

Boh, chi lo sa, ora sono cavoli miei. Sto cercando con un paio di amici di sistemare le cose.

Speriamo dai...

gallus · « **Risposta #9 il:** 11 Set 2007, 22:35:38 »

Citazione da: boBigHorus - 11 Set 2007, 21:01:40

Credo abbiano lasciato una backdoor da qualche parte...

Si ma dovrebbe essere noto all'host in questo caso

zalexo · « **Risposta #10 il:** 11 Set 2007, 23:06:31 »

L'host non mi ha detto nulla, quindi non so.

Però mi sembra strano che dopo aver cambiato la pass dell'ftp (ma non del plesk, mi hanno lasciato la vecchia dell'ftp) entrino ancora senza problemi.

Ma l'host non riesce a vedere dove è la vunnerabilità?

cmq ora sto provando a rifare il sito da capo con un'installazione vergine e poi pianopiano dumpare il database.

adesso vediamo come fare....

speriamo..

cmq penso che fino a domani l'host non mi possa rispondere.

ciao

jk4nik · « **Risposta #11 il:** 11 Set 2007, 23:21:19 »

leggendo sul sito di sistiana, sembra che sniffino la pass ftp, fai il secure login ftp.

ciao
jk

zalexo · « **Risposta #12 il:** 12 Set 2007, 00:51:20 »

Il problema sembra più grave del normale.

"Forse" si sono impossessati anche dei DNS del sito, non so cosa dirvi, sembra che anche joomlahost non sia in possesso del sito.

Vi spiego perchè:
Se entrate in una pagina qualsiasi del sito:
per es. http://www.zalexo.it/contatto-consulenza.html
anche se joomla host ha chiuso il sito questa url, e tutte le altre a parte la index sono raggiungibili, e sono presenti i link al sito del nostro "amico".

Di conseguenza anche con il sito disabilitato le pagine interne sono raggiungibili.

Mi stavo chiedendo se il problema non dipenda dai DNS visto che tutto il dominio sembra essere sotto controllo dell'"amico".

Ora sto provando a ripristinare il sito da un'altra parte, utilizzando database e file, vedremo.

Ma prima di tutto voglio capire cosa succede alle pagine del mio sito che ora sono sotto il controllo dell'"amico".

jk4nik · « **Risposta #13 il:** 12 Set 2007, 07:52:43 »

pingando www.zalexo.it l'indirizzo ip è 81.31.151.36 sempre di proprietà coltengine-mnt, allora perchè ieri andava giù il .19 ?, tu eri sul .19 fino a ieri?, se le pagine visualizzate sono da "altra parte", controllate dall'amico, io non ci andrei sicuramente e neanche ci sono andato, chissà che codice maligno ha installato in quelle pagine...

ciao
da un amareggiato jk

dampyrD · « **Risposta #14 il:** 12 Set 2007, 09:19:59 »

le tue pagine ributtano verso un link : siyamiozkan.com.tr ect ect

nei puntini in alto a sx ci sono i link al sito e al forum di chi probabilmente ha bucato.

parlando con un collega probabilmente hanno inserito un redirect che viene caricato prima della index.php verifica o fai verificare, i dns sono a posto risultano sempre alla colt e su server .36

surfbit · « **Risposta #15 il:** 12 Set 2007, 10:57:17 »

Sembra che parta una applet in java.

k0nan · « **Risposta #16 il:** 12 Set 2007, 11:13:58 »

Citazione da: zalexo - 11 Set 2007, 23:06:31

L'host non mi ha detto nulla, quindi non so.

Però mi sembra strano che dopo aver cambiato la pass dell'ftp (ma non del plesk, mi hanno lasciato la vecchia dell'ftp) entrino ancora senza problemi.

Ma l'host non riesce a vedere dove è la vunnerabilità?

cmq ora sto provando a rifare il sito da capo con un'installazione vergine e poi pianopiano dumpare il database.

adesso vediamo come fare....

speriamo..

cmq penso che fino a domani l'host non mi possa rispondere.

ciao

sh404SEFw (l'ultima release) è allora da considerarsi vulnerabile e non adatto a live site ?

zalexo · « **Risposta #17 il:** 12 Set 2007, 11:35:18 »

Citazione da: surfbit - 12 Set 2007, 10:57:17

Sembra che parta una applet in java.

Purtroppo il sito non è ancora sicuro, immagino che joomlahost stia lavorando, non so. Non ho avuto risposta.

cmq non provate ad entrare nel mio sito, mi dispiace per tutti i miei utenti, parte un applet che ti incasina tutto il pc.

Ho provato dall'ufficio e dopo che firewall e antivirus suonavano come campane a festa ho dovuto staccare perchè tutto si era inchiodato.

Quindi non provate, putroppo il sito è ancora sotto controllo del nostro "amico".

Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....

Ora il sito è vuoto.

Boh, vi terrò aggiornati.

carlodamo · « **Risposta #18 il:** 12 Set 2007, 12:20:01 »

Citazione da: zalexo - 12 Set 2007, 11:35:18

Mi chiedo come mai.... joomlahost non vede questo problema? nei log ecc....

immagino che quelli di joomlahost non hanno tempo per guardare i log del tuo sito.. forse pagandoli... ;-))

zalexo · « **Risposta #19 il:** 12 Set 2007, 12:23:19 »

Gli ho chiesto se a pagamento potessere darmi una mano, ma probabilmente hanno da fare e mi hanno segnalato questo forum per risolvere il mio problema.

Ora sto rifacendo tutto il sito da un'altra parte, per stare tranquillo.

Vediamo, cmq il backup dovrebbe essere a posto.