Autore Topic: AIUTO sito HACKERATO (Letto 20871 volte)

..-. ..- · « **Risposta #20 il:** 24 Gen 2008, 18:01:09 »

druido puoi chiedere allora al host una semplice domanda.
che tipo di attacco .. era?
ci serve solo questo ... anzi, mi serve sapere solo questo ora, perchè me lo chiedono.
Non devono assolutamente dirti qual'era la componente, hanno capito anche i sassi sordi che non è di loro competenza, ma sapere il tipo di attacco ci servirebbe... magari prestino

Druido · « **Risposta #21 il:** 24 Gen 2008, 18:08:05 »

Appena inviata la domanda a joomlahost, vediamo se rispondono perchè ormai sono le 18.00 e non so fino a che ora lavorino.

Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo

, invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.

..-. ..- · « **Risposta #22 il:** 24 Gen 2008, 18:15:28 »

Grazie druido

Druido · « **Risposta #23 il:** 24 Gen 2008, 18:18:10 »

Grazie a voi per l'aiuto... appena mi rispondono riporto qui.

cos · « **Risposta #24 il:** 24 Gen 2008, 18:20:53 »

Citazione da: Druido - 24 Gen 2008, 18:08:05

Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo , invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.

probabilmente/sicuramnte c'e un problema!!!
ma uno hosta dove pensa di avere "anche" un supporto in forma di aiuto dedicato a joomla

ma forse ci sbagliamo !!!!!!!!!

Bettinz · « **Risposta #25 il:** 24 Gen 2008, 18:22:18 »

Citazione da: cos - 24 Gen 2008, 18:20:53

Citazione da: Druido - 24 Gen 2008, 18:08:05

Comunque devo dire che ci sono rimasto un po' male, utilizzavo il loro host proprio perchè fatto appositamente per joomla. Installavo solo componenti noti... speravo fossero un po' più disponibili nel dirmi cosa fosse successo , invece hanno sbolognato dicendomi che non era colpa del loro server ma dei miei componenti.

probabilmente/sicuramnte c'e un problema!!!
ma uno hosta dove pensa di avere "anche" un supporto in forma di aiuto dedicato a joomla

ma forse ci sbagliamo !!!!!!!!!

occhio a non andare ot

..-. ..- · « **Risposta #26 il:** 24 Gen 2008, 18:36:40 »

Druido per quanto riguarda le tue componenti, controlla extcalendar, anche i moduli, perchè erano stati segnalati problemi con quella componente e con i moduli in passato e vedendo dall'immagine che hai fornito la data di release non vorrei che fosse una papabile tra quelle incriminate.

Druido · « **Risposta #27 il:** 24 Gen 2008, 18:40:22 »

Ho riguardato la pagina dei log e ho notato che gli ultimi 2 già postati sono del 24 gennaio, poi un altro del 20 gennaio e tutti gli altri risalgono a novembre e prima.

quindi riallego qui gli ultimi 2 log più lo screen di tutti i log

rimossi
Nota moderazione: ho modificato il link perchè all'interno del file c'era pure il dump completo del tuo database con tanto di credenziali

Non so se può tornare utile ma le ultime operazioni fatte sul portale risalgono a ieri quando una persona con privilegi di super admin ha inserito un evento nel calendario e poi ha provato ad inserire delle foto in zoommedia ma non ci è riuscito, per ben 2 volte gli si è bloccato il browser costringendolo a riavviare il pc.

..-. ..- · « **Risposta #28 il:** 24 Gen 2008, 18:54:32 »

Bene come credevo, il problema potrebbe essere ext calendar.
Ho verificato la versione è del luglio 2006 e proprio in quel periodo erano stati segnalati problemi di sicurezza con quella componente
http://www.frsirt.com/english/advisories/2006/2711

Consigliere quindi di sopprimere momentaneamente quella componente e trovare un valido sostituto.
Al momento non credo che sia stata più migliorata con quel nome credo sia stata ripresa e cambiato nome in Jcal (gli utilizzatori saranno più precisi di me).

Non ho ancora controllato se questa componente era già segnalata nella lista di quelle pericolose, invito quindi tutti sempre controllare la lista, che trovate sia su joomla.org, che qui, che su info di joomlahost onde evitare che accadano queste spiacievoli situazioni.
Ma non solo fate attenzione che a volte è possibile che non sia la componente, ma può anche essere qualche modulo, noi aggiorniamo sempre le componenti ma a volte ci dimentichiamo dei moduli.
Se viene segnalato un problema di sicurezza controllate sempre i forum ufficiali per ricevere notizie in merito, e nel dubbio disattivate temoporaneamente quelle estensioni, aiuterete il vostro sito, i siti che sono ospitati con voi nello stesso spazio e soprattutto si eviteranno polemiche inutili che non aiutano nessuno.

P.S.
Comunque dato che siamo qui ... appena hai risposta in merito al tipo di attacco faccelo sapere.

Druido · « **Risposta #29 il:** 24 Gen 2008, 19:17:16 »

Vamba intanto ti ringrazio infinitamente.

Avevo controllato la lista nera e la mia versione di ext calendar mi sembrava pulita.
Comunque grazie ancora... ma se io adesso elimino il componente e rimetto tutto sul server agisco bene o è possibile che dopo essere entrati per ext calender mi abbiano lasciato qualche schifo o porta aperta in giro per il resto del portale?

Luca Curatola · « **Risposta #30 il:** 24 Gen 2008, 22:55:31 »

Allora, se il sito è stato defacciato, bisognerebbe conoscere la data di creazione/modifica della index page, in modo da fare una cernita tra i log e verificare dove/cosa/come, altrimenti si rischia di perdere inutilmente tempo.

Oltre a questo bisognerebbe, a mio avviso, lavorare in accoppiata con l'hosting provider in modo da prendere le adeguate contromisure.

..-. ..- · « **Risposta #31 il:** 24 Gen 2008, 23:04:45 »

Controlla che non vi siano file strani annidati nelle cartelle.
A volte anche semplici file txt o jpg possono essere li dormienti e attendere solo una chiamata esterna per generare una sorta di reazione a catena.
Non esistare a proporci ed elencarci tutti i file che ritieni sospetti.

Druido · « **Risposta #32 il:** 25 Gen 2008, 11:02:12 »

OK lo staff di joomlahost mi ha risposto, purtroppo però non penso che la risposta fosse quella che ci aspettavamo...

Citazione

Salve, l'attacco in riferimento è dovuto a componenti fallati.

Controlli le versioni dei componenti installati anche facendo riferimento all'elenco dei componenti critici: http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/

> Sto facendo un po' di ricerche con l'aiuto di forum specifici, dove mi

> chiedono di chiedervi che tipo di attacco avete rilevato.

> Grazie

Per quanto riguarda la lista di files che potrebbero essere li dormienti sto facendo ricerche ma non ho l'occhi esperto, se vi interessa, ma non credo sono più di 200 pagine, potete scaricare l'elenco di tutti i files, cartelle e sottocatelle del mio sito. elenco rimosso
Attenzione trovere ancora il componente extcalender perchè ancora non l'ho rimosso.

Ancora grazie a tutti.

cos · « **Risposta #33 il:** 25 Gen 2008, 11:52:06 »

mah!
devo dire che la risposta è molto utile !!!!!!!

l'unica e pensare a ext calendar prova a toglierlo e riupplodare!!!!!

ma io nel frattempo mi toglierei il dubbio facendo una prova

crei un sito da un'altra parte ( magari il piu economico d'italia - avrai capito dove) e carichi esattamente il sito incrininato e vedi cosa succede.

..-. ..- · « **Risposta #34 il:** 25 Gen 2008, 12:11:08 »

Grazie per il file doc, (mi spiace vedere che non c'è stata collaborazione), ma è improponibile mettersi li e perdere tempo a scorrere 200 pagine.
Ti chiedo gentilmente inviami, se vuoi anche con messaggio privato, un link dove poter scaricare i file e controllarli direttamente, non me la sento di cercarli nel file doc farei prima con i file stessi, per verificarne la pericolosità.
Poi dopo sarà quel che sarà...........

Luca Curatola · « **Risposta #35 il:** 25 Gen 2008, 12:12:45 »

Non riesco proprio a capire il perchè non venga indicato chiaramente quale sia questo benedetto componente fallato.

Se hanno realmente evidenza del fatto che il problema sia dovuto al tuo specifico sito e hanno così celermente stabilito che è un componente fallato, mi fa supporre che sappiano quale sia sto benedetto componente che è stato sfruttato per il defacement.

Perchè non indicarlo chiaramente nella risposta non ci è dato di sapere...

..-. ..- · « **Risposta #36 il:** 25 Gen 2008, 12:14:31 »

Luca si può presumere che forse realmente non lo sanno... è umano non si può sempre sapere tutto ... quindi non mi pare giusto addossare loro questa colpa.

cos · « **Risposta #37 il:** 25 Gen 2008, 12:19:43 »

nessun colpa!!

ma fanno sicuramnte prima loro a capire dove è la falla

hanno più strumenti di noi !!!!!!! per capire

Luca Curatola · « **Risposta #38 il:** 25 Gen 2008, 12:21:17 »

Non sto addossando colpe a nessuno, non mi sembra però che ci sia la disponibilità alla risoluzione di un problema che interessa si un utente, ma che *dovrebbe* interessare anche l'hosting provider.

Sui miei server mi darebbe fastidio non sapere cosa è successo, anche perchè questa volta è un semplice defacement, la prossima potrebbe essere una shell.

..-. ..- · « **Risposta #39 il:** 25 Gen 2008, 12:33:37 »

Comunque io consiglierei, in attesa della versione stabile 1.0.14, se non la utilizzate, rimuovete la componente com_poll in quanto, al momento potrebbe essere soggetta a cross-site request e script insertion.
Questo in riferimento a questo messaggio, apparso su secunia, il 9.0.1.2008

Citazione

Input passed via the poll options and the poll title in the com_poll component is not properly sanitised before being used. This can be exploited to insert arbitrary HTML and script code, which will be executed in a user's browser session in context of an affected site when viewing a page containing a malicious poll.