• User Attivo

    Mi hanno hackerato il sito.

    Ragazzi,
    stamattina entrando nel mio sito rotundamaris.net (sito in firma)
    Mi sono inbattuto in una pagina non mia e con la scritta che il mio sito era stato hackerato.
    Che posso fare????

    Aiutatemiii!!!


  • User Attivo

    Tentando di entrare nel sito firefox si chiude e dà un'errore, direi che è stato installato qualche malware.

    Se il database è intatto entri con phpmyadmin e nella tabella users e scegli l'amministratore con modifica poi alla riga password in funzione metti MD5 e nel campo valore inserisci una nuova password.

    dopo di cio spero tu abbia un backup del sito, cancelli tutti i files presenti nel tuo spazio e ricarichi il backup.

    Ultima cosa molto importante aggiorni a joomla 1.5.7


  • User Attivo

    Io oltre a quello che ti ha consigliato webmax ti direi di stare attento al file htaccess.txt che si trova nella root: ho controllato ora e benchè il sito sia visibile il file è ancora lì così... e questa cosa è errata, in quanto il file, dopo l'installazione va rinominato da htaccess.txt a .htaccess
    Lasciarlo lì così equivale a chiudere la macchina e dimenticare però le chiavi attaccate per fuori! :tongueout:
    Posso dirti al riguardo che un mio amico, non tanto esperto di Joomla!, aveva lasciato il file come ce l'hai ancora tu ed è stato hackerato dal solito Hacker Turko...

    P.S. il file in questione è per l'appunto un file di sistema che se usato correttamente serve per maggiore sicurezza...quindi corri subito in FTP e rinomina il file! :wink3:


  • Super User

    Scommetto che avevi una versione di Joomla precedente alla 1.5.6...esatto?


  • User Attivo

    @autodafe said:

    Scommetto che avevi una versione di Joomla precedente alla 1.5.6...esatto?

    Potrebbe essere e ce lo dirà semmai l'interessato, cmq in ogni caso è caldamente consigliato rinominare il file in questione, cioè htaccess.txt


  • Super User

    Lo dicevo perchè le versioni precedenti la 1.5.6 avevano una falla di sicurezza piuttosto grande (anche a me è capitato un defacement, era Agosto ed ero in ferie)...

    moccoweb, in che senso andrebbe cambiato l' htaccess.txt ? io in quasi tutti i siti Joomla lo uso (.htaccess, intendo) ma forse in alcuni non l'ho mai toccato...che potrebbe accadere???


  • User Attivo

    @autodafe said:

    moccoweb, in che senso andrebbe cambiato l' htaccess.txt ? io in quasi tutti i siti Joomla lo uso (.htaccess, intendo) ma forse in alcuni non l'ho mai toccato...che potrebbe accadere???

    Cioè se non rinomini il file htaccess.txt in .htaccess rischi di essere defacciato con maggiore facilità!!!

    Guarda questo sito di un mio amico per credere... ilsitodiale.it
    Se noti il file non è stato rinominato ed è ancora lì così: ilsitodiale.it/htaccess.txt


  • User Attivo

    Si praticamente avevo una versione precedente della 1.5.6 che per negligenza non avevo aggiornato (ora l'ho portata alla 1.5.7).

    E poi non ho mai toccato il file htaccess.txt , quindi conviene modificarlo????

    Riguardo al problema da titolo ho risolto con il procedimento di **webmax **fortunatamente non mi hanno toccato il database (di cui non avevo un backup aggiornato) quindi mi è bastato sostituire i file.
    GRAZIE 😉


  • Super User

    ok, ma in che modo ? Come fanno? Ti modificano il .htaccess?
    Io nel htaccess.txt del tuo amico non noto nulla di strano...


  • Super User

    @Jaikappa said:

    Si praticamente avevo una versione precedente della 1.5.6 che per negligenza non avevo aggiornato 😉

    ecco, immaginavo...;)
    Sè come immagino, io sono riusciti a prendere la password di Admin e modificartela...E poi (se tutto va bene) ti hanno solo defacciato la index.php infettando del codice maligno.

    La soluzione che ti ha dato webmax è quella giusta in tal caso...
    (ma vedo che hai già risolto perchè il sito è su...)


  • User Attivo

    non ho potuto fare a meno di leggere i post, quindi conviene in assoluto rinominare htaccess.txt in .htaccess in modo da non renderlo leggibile ad esterni


  • Super User

    Scuate, ma io continuo a non capire la cosa dell' htaccess.txt:bho:
    Se uno non l'ha rinominato, significa che htaccess.txt è tale quale a quello che è stato caricato dall'installazione standard di Joomla.
    Quindi il suo contenuto è noto a tutti.
    Se uno non lo ha rinominato significa che non lo usa (e quindi nelle opzioni delle URL sef non ha spountato la casella "usa .htaccess" , oppure lo ha fatto ma non sa cosa significhi...)

    Ora, cosa si può fare di dannoso con un file txt lasciato "visibile" sul server?

    Chi me lo spiega (anche in PVT per non svelare qui tecniche poco "lecite" ?)


  • User Attivo

    Infatti non l'avevo mai sentita come soluzione.....


  • Super User

    l'unica cosa che mi viene in mente è che se non abiliti l' .htaccess alcuni degli exploit non sono "evitati", nel senso che il htaccess.txt contiene dei redirect per alcuni dei tentativi più o meno "classici"...
    Ma gli hacker cercheranno comunque di bucare il sito, sia che leggano htaccess.txt sia che non lo vedano in chiaro...


  • User Attivo

    Se si lascia htaccess.txt leggibile non vedo che pericolo ci possa essere visto che non è attivo e anche se letto non dà nessuno spunto.

    Se rinominato in .htaccess deve essere utilizzato per lo scopo per cui nasce e dare le corrette direttive ad apache.

    Cosa importante è cambiare l'username dell'amministratore da admin in quellochevolete, i siti più colpiti dall'exploit remote admin password change di cui parliamo qui sono proprio quelli con user admin. Difatti si riesce a cambiar password ma per il login c'è bisogno di conoscere l'username. Anche se si è patchato meglio evitare.


  • User Attivo

    @webmax said:

    Cosa importante è cambiare l'username dell'amministratore da admin in quellochevolete, i siti più colpiti dall'exploit remote admin password change di cui parliamo qui sono proprio quelli con user admin. Difatti si riesce a cambiar password ma per il login c'è bisogno di conoscere l'username. Anche se si è patchato meglio evitare.

    Verità sacrosanta quella della modifica del login Amministratore dal classico admin ad un nome di fantasia... si rendono così più ardui i tentativi di hakeraggio in effetti...

    @webmax said:

    Se rinominato in .htaccess deve essere utilizzato per lo scopo per cui nasce e dare le corrette direttive ad apache.

    Infatti!!! Se lo rinomini può darsi anche che magari certe cosette tipo queste:

    *########## Begin - Rewrite rules to block out some common exploits

    If you experience problems on your site block out the operations listed below

    This attempts to block the most common type of exploit attempts to Joomla!

    Block out any script trying to set a mosConfig value through the URL

    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D)

    Block out any script trying to base64_encode crap to send via URL

    RewriteCond %{QUERY_STRING} base64_encode.(.)

    Block out any script that includes a <script> tag in URL

    RewriteCond %{QUERY_STRING} (<|%3C).script.(>|%3E) [NC,OR]

    Block out any script trying to set a PHP GLOBALS variable via URL

    RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2})

    Block out any script trying to modify a _REQUEST variable via URL

    RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

    Send all blocked request to homepage with 403 Forbidden error!

    RewriteRule ^(.*)$ index.php [F,L]

    ########## End - Rewrite rules to block out some common exploits*

    possano essere messe in pratica, se lasci il file invece con estensione .txt rimane "inattivo" e quindi anche non "performante", sei d'accordo?