Mi hanno forato il sito, ANCORA!!!!

[jk4nik]

ciao zalexo,

dici che il sito ora è sicuro perchè avete individuato da dove entrano, oppure ...

ciao
jk

[zalexo]

Guarda loro mi hanno detto che lanciavano uno script su un sito esterno che faceva fare certe operazioni a joomla, loro poi in qualche modo entravano.

Loro mi hanno patchato alcuni file, supp. il .htaccess e adesso il problema è risolto.

Almeno per ora.

Però ho capito che non riescono a capire da dove entrano esattamente.

ciao

[cos]

Loro mi hanno patchato alcuni file, supp. il .htaccess e adesso il problema è risolto.

loro chi sono   ??

jh

o

la ditta a cui ti sei rivolto ??

grazie

[zalexo]

La ditta se mi scrivete in privato vi lascio il link.

Mi diceva la tipa che era un inglese.

ciao

[Daniele Pinna]

Sarebbe utile sapere quali sono le modifiche fatte per renderlo più sicuro... altrimenti prima o poi ci andiamo di mezzo tutti :-(

[shumisha]

Hello,

I am sorry to have to write in English, I don't speak Italian. I am also sorry to read what i think I understand from this post. I have made another answer here: http://forum.joomla.it/index.php/topic,27884.msg124135.html#msg124135
To make it short:

- sh404SEF (or Joomla) CANNOT be involved if they had FTP access, just as they did on my site. The vulnerability technically must come from somewhere else.
- If you keep using normal FTP, Zalexo, you are still vulnerable.

Please read in the other post the copy of my discussion with the support technician of my host. By chance, I had access and FTP logs which allow me and my host (bluehost.com) to see they  had access to ftp.

Best regards to all

Yannick gaultier (shumisha)

PS: would be nice if someone could translate this to Italian so that more people could understand

[cyskye]

Ciao a tutti,
volevo fare una traduzione veloce su quello che ha scritto shumisha, visto che mi è stato chiesto personalmente da lui.
*****
Ciao, mi dispiace di dover scrivere in inglese, ma non parlo italiano. Mi dispiace anche di aver letto su questo post ciò che mi è parso di capire (nota: nel senso che non parlando l'italiano non avrà afferrato perfettamente tutto)
Ho scritto un'altra risposta qui:
http://forum.joomla.it/index.php/topic,27884.msg124135.html#msg124135

Per farla breve:
- sh404SEF (o Joomla) NON POSSONO ESSERE COINVOLTI se gli hacker hanno un accesso FTP, proprio come hanno fatto sul mio sito. La vulnerabilità deve arrivare tecnicamente da qualche altra parte.
- Se tu, zalexo, continui ad usare il normale protocollo FTP, sei ancora vulnerabile.

Perfavore, leggete nell'altro post la copia della mia discussione con il supporto tecnico del mio host.
Per caso ho avuto accesso a logs FTP che hanno permesso a me ed al mio host  (bluehost.com) di vedere che loro hanno avuto accesso dall'ftp.

Saluti a tutti
**********************************************

[graz]

Ciao zalexo, hai poi risolti i tuoi problemi? anch'io da un pò di giorni a questa parte sono afflitto da attacchi che partono dal server dove ho il sito verso l'esterno, con lo stesso hosting. Da 4 giorni il sito è praticamente sempre giù, nonostante sia joomla che smf siano aggiornati alle relative ultime versioni.   

[ugoberenice]

mi sa che sta succedendo anche a me ... ora provo a cancellare tutto e rimenttere su qcosa di pulito

[Daniele Pinna]

In questi giorni anche io sto rilevando diversi attacchi ad un mio sito... ma li ho una situazione particolare...
Su un dominio ho due siti... il sito nuovo in Joomla e il sito vecchio in PHP-Nuke.

Il sito sotto attacco è quello in PHP-Nuke che, anche se non è aggiornato alle ultime versioni, ha un "componente" chiamato Sentinel che blocca tutti gli attacchi (di tipo Flood) mettendo l'ip attaccante in black list.

Non so se è sotto attacco anche Joomla perché non mi segnala nulla... sarebbe utile avere un componente tipo "Sentinel" per tenere traccia di questi attacchi e comportarsi di conseguenza...

Sicuramente Joomla ha meno problemi di PHP-Nuke per cui può sopravvivere anche senza questa specie di Firewall chiamato Sentinel...

[trattino]

ciao ragazzi anche il mio sito è sottoattacco da parte di  non so cosa che mi modifica il file aggiungendomi delle righe che mi rimandano al sito http://usuarios.arnet.com.ar/alvarezluque/morgan.html

Oggi poi mi ha interamente cancellato la cartella component.

Qualcuno sa dirci qualcosa?

[servrent]

Che versione hai?

Su che hosting stai?

[Maorinz]

Topic bloccato.

Continuare a uppare per questioni OT porta solo confusione.

Se avete problemi di host rivolgetevi agli stessi prima di postare, dopodichè - se è il caso - aprite 3d nuovi.

Grazie.