Autore Topic: Attacco Hacker  (Letto 8371 volte)

Offline nocchigraf

  • Nuovo arrivato
  • *
  • Post: 25
    • Mostra profilo
Attacco Hacker
« il: 25 Ott 2008, 09:12:11 »
Stamani ho trovato il sito down a causa di un attacco hacker. Nonostante la versione 1.5.7, che quindi è diventata vulnerabile???

Davide
« Ultima modifica: 25 Ott 2008, 10:20:41 da nocchigraf »

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #1 il: 25 Ott 2008, 10:04:22 »
Nonostante la versione 1.5.7, che quindi è diventata vulnerabile.

Non diciamo idiozie, per favore.

Quando uno si prende la briga di fare certe affermazioni dovrebbe essere almeno coscente di cosa comportano.

Piuttosto descrivi le estensioni installate. Sei riuscito a recuperare la passwd di amministrazione?

Offline nocchigraf

  • Nuovo arrivato
  • *
  • Post: 25
    • Mostra profilo
Re: Attacco Hacker
« Risposta #2 il: 25 Ott 2008, 10:27:03 »
Scusa la mia affermazione, voleva essere una domanda (ho corretto il testo).

Plugin installati: Docman, Community Builder, Database Backup, Control Access Login (disabilitato perchè non mi mandava più la email per confermare la richiesta d'accesso)

Avevo già subito un attacco a fine agosto, ma con la vecchia versione. In entrambi i casi l'hacker (dice) è turco.

Davide

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #3 il: 25 Ott 2008, 11:07:00 »
ok buon per te fosse una domanda. No non è vulnerabile, molto probabilmente ha sfruttato le vulnerabilità di una delle estensioni installate, anche se al momento non posso essere molto preciso.
Dai un occhiata all'elenco delle estensioni ritenute insicure su Joomla.org.

Avevi mofidicato sia la pass FTP sia la pass d'amministrzione Joomla vero?

Offline nocchigraf

  • Nuovo arrivato
  • *
  • Post: 25
    • Mostra profilo
Re: Attacco Hacker
« Risposta #4 il: 25 Ott 2008, 11:18:17 »
Sì, semmai definirmi co*****ne sarebbe poco.

Ho anche protetto la cartella "administrator" dal pannelo di controllo dello spazio web

Davide

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #5 il: 25 Ott 2008, 11:20:58 »
no, io ti chiedo se avevi cambiato user e pass FTP, non di Joomla

Offline nocchigraf

  • Nuovo arrivato
  • *
  • Post: 25
    • Mostra profilo
Re: Attacco Hacker
« Risposta #6 il: 25 Ott 2008, 11:57:57 »
Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #7 il: 25 Ott 2008, 13:03:26 »
Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

Si unser e pass che usi per conneterti via FTP anche con filezilla

Offline nocchigraf

  • Nuovo arrivato
  • *
  • Post: 25
    • Mostra profilo
Re: Attacco Hacker
« Risposta #8 il: 25 Ott 2008, 13:05:38 »
Cioè tu dici username e password di FileZilla???

Ora sto cercando di ripristinare il database, ma quando inserisco i backup mi ricompare la pagina dell'hacker.

Davide

Quelli non l'ho cambiati, ma lo faccio subito.

Si unser e pass che usi per conneterti via FTP anche con filezilla

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #9 il: 25 Ott 2008, 18:59:24 »
10 su 10 che è entrato grazie a quelli, se non li avevi cambiati dall'ultimo attacco

Offline dexter04

  • Nuovo arrivato
  • *
  • Post: 18
    • Mostra profilo
Re: Attacco Hacker
« Risposta #10 il: 22 Gen 2009, 18:19:16 »
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

Offline g3n10z

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re: Attacco Hacker
« Risposta #11 il: 23 Gen 2009, 10:11:44 »
che ti devi rilassare...soprattutto se non gestisci nasa.gov!

cmq vorrei sapere secondo voi come ha fatto a prendergli le pass dell'ftp!
non sara' mica cosi pirla da lasciarle nel config!

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re: Attacco Hacker
« Risposta #12 il: 23 Gen 2009, 10:54:23 »
cambiare periodicamente le credenziali di accesso (tutte) è ottima abitudine ed è una delle misure minime previste dal cosiddetto codice privacy  (se è stato redatto il dps è scritto in chiaro anche li)
imho
in caso di oscuramento  e se gli accordi non prevedono che debba farlo il cliente al quale ovviamente devono essere fornite credenziali di accesso ed istruzioni,  chi ha commissionato un sito aziendale o commerciale se non sono state rispettate queste elementari norme di sicurezza (e ciò deve essere documentato) potrebbe richiedere un risarcimento  alla web agency!
quindi statevi accorti,  un attacco non è un evento imprevisto ed imprevedile  ma al contrario in rete è la normalità a prescindere dal cms o dall'editor html utilizzato.


 
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Attacco Hacker
« Risposta #13 il: 24 Gen 2009, 10:23:50 »
Non mi fermerei solo a pensare che forse gli hanno sottratto le credenziali FTP, le cause reali secondo me sono ben altre.

Sarebbe carino se elencasse anche le versioni delle varie estenzioni, ancora meglio se accompagnate dai log.

Il cambio di codice puo` avvenire in tanti modi, ve lo garantisco, quindi se ci sono altre informazioni relative ben vengano, altrimenti direi che e` il caso di chiudere il thread evitando di fare cattiva informazione :)
Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Attacco Hacker
« Risposta #14 il: 24 Gen 2009, 10:27:38 »
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

l` attacker non e` necessariamente l` ip che tu vedi nei log, solitamente vengono usati proxy o macchine (precedentemente violate) come punti di appoggio per fare run di piccoli applicativi che fanno scanning (tramite i motori di ricerca) con determinate stringhe dei componenti, per poi attaccare direttamente ed includere un codice malevolo.

Anche qui se ci fossero maggiori informazioni potremmo vedere e analizzare il problema.

P.S. io ricevo una media di 30 attacchi al giorno, dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)
Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

Offline peterrey

  • Appassionato
  • ***
  • Post: 516
  • Sesso: Maschio
  • raccolgo per pulire il mondo
    • Mostra profilo
Re: Attacco Hacker
« Risposta #15 il: 05 Mag 2009, 17:09:08 »
ciao emgent
mi interessa quando hai detto
dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)

e ti spiego il motivo : Il cosiddetto hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto  che un sito aveva un link che portava al mio sito  hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker ( a top 100  >:() .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito
« Ultima modifica: 05 Mag 2009, 18:48:46 da peterrey »
tra breve ci sarà una nuova realtà trashware

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #16 il: 05 Mag 2009, 18:45:20 »
Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare :o è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

1. dalla nigeria è un proxy

2. probabilmente aveva qualche dubbio sulla stabilità di expose

Offline peterrey

  • Appassionato
  • ***
  • Post: 516
  • Sesso: Maschio
  • raccolgo per pulire il mondo
    • Mostra profilo
Re: Attacco Hacker
« Risposta #17 il: 05 Mag 2009, 19:09:23 »
ciao odino
ho riaperto la discussione per questa segnalazione :un hacker turco mi ha defacciato un sito e fin qui la solita "mena " , il bello è che a distanza di 2 mesi mi sono accorto  che un sito aveva un link che portava al mio sito  hackerato e ho scoperto che questi c..i si divertono anche a farsi una classifica dell'hacker .
Domanda non è che possono utilizzare questi indirizzi a qualche scopo?
p.s. se vuoi ti posto il link al sito
tra breve ci sarà una nuova realtà trashware

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: Attacco Hacker
« Risposta #18 il: 06 Mag 2009, 15:15:11 »
qualcosa puoi fare, ma ne vale la pena?

Offline peterrey

  • Appassionato
  • ***
  • Post: 516
  • Sesso: Maschio
  • raccolgo per pulire il mondo
    • Mostra profilo
Re: Attacco Hacker
« Risposta #19 il: 06 Mag 2009, 16:35:36 »
ciao odino
no non ne vale la pena e poi anche quell'esperienza mi è servita , l'unica tristezza è vedere il loro sito che lo usano come  "bacheca dei defacetamenti "
tra breve ci sarà una nuova realtà trashware

 

Host

Torna su