• F
    User Newbie

    Sito con joomla reinstallato da zero dopo hacking, ancora presenta tracce di hacking

    Salve a tutti, mi sono appena registrato, non conoscevo il forum prima, ho chiesto a proposito del problema che riporto qui sotto in diversi forum che frequento ma nessuno mi ha saputo rispondere. Anche per curiositò provo anche a chiedere qui nonostante sia appena registrato.

    Vi faccio il riassunto:

    Qualche giorno fa il mio sito fatto con joomla 2.5 è stato hackerato, così ho cancellato tutte le cartelle in pubblic_html, resettato tutte le password, seguito gli altri punti del joomla security checklist # 7 e ripristinato un backup apparentemente pulito.
    Pensavo che fosse pulito e tutto fosse a posto, ma per caso, un amico ha clicckato sul pulsante like di facebook che avevo sul sito, e subito mi ha avvisato che sul link di facebook c'era un messaggio dell' hacker (al posto del mio messaggio) che collega alla mia homepage .

    Quindi ho pensato, ovviamente, che il backup non fosse pulita.

    Allora ho fatto una reinstallazione di joomla da zero e qui è successa una cosa che non mi riesco proprio a spiegare!
    Ho reinstallato una copia pulita di joomla in un nuovo database.
    Non ho rifatto l'upload di alcun file . Niente. Quindi joomla e database tutto nuovo, senza files di backup

    Ho avuto questa intuizione di provare il sito web con nessun reuploaded dei files. Ho reinstallato solo il facebook come modulo e ... sorpresa ... cliccando sul pulsante facebook, compare ancora e immediatamente dopo la reinstallazione il messaggio dell' hacker al posto del mio!

    Devo dire che:

    1. Ho provato a reinstallare da zero da due differenti OS (uno veramente nuovo con linux installato su un nuovo disco, uno con win7).
    2. Ho ripetuto l'installazione da zero di joomla due volte da ognuno dei due OS.
    3. Nel frattempo ho cambiato di nuovo le password più di una volta.
    4. Quando ho fatto il reupload del modulo facebook ho installato una nuova copia scaricata daccapo. Ho anche provato un facebook diverso come plugin con lo stesso risultato (.. hacked by, ecc.)
    5. Ho provato con due diversi profili facebook (uno non utilizzato per giorni e mai cliccato sul mio tasto like).
    6. Ho una sola pagina hackerata(la home page in inglese del mio sito web bilingue), le altre sono pulite
    7. Ho installato joomla dal cpanel del hosting rovider

    Ho contattato l'hosting provider e mi ha detto quanto segue:

    "O il computer locale o la rete è infetta, oppure dei malware sono stati lasciati all'interno di public_html (forse un. Htaccess redirect) oppure uno script che installato è vulnerabile. Il nostro server è completamente sicuro"

    Il pc mio mi sembra strano in quanto come dicevo ho provato a reinstallare con due os diversi tra cui uno appena installato su pendrive usb appena formattata. Non ho neanche usato un programma ftp, ho instalalto dal loro cpanel.
    All'interno di public_html non c'era nulla perchè ho reinstallato tutto da zero

    Non capisco perchè debbano sottolineare che il loro server è perfettamente sicuro io nemmeno glielo avevo chiesto e cmq come fanno ad esserne tanto sicuri? Tanto + che sul mio stesso ip (sono su shared hosting) so che ci sono due siti con malwares. Cmq non sarà certo quello il problema

    Piuttosto non so cosa intendano con la rete locale potrebbe essere infetta!
    sarebbe l'unica cosa un po' logica tra le altre.
    L'hosting provider è inglese e la frase esatta era "Either the local computer or network is infected"

    Non so cosa pensare, ogni aiuto è ben gradito e scusate se mi presento subito con una problematica
    grazie

    0
  • F
    User Newbie

    Per esperienza personale ti dico che dopo 6 anni che gestisco siti ho dovuto abbandonare l'hosting presso webfarm italiana per la disperazione. Ho avuto problemi simili al tuo e altri disservizi e ti assicuro che sono passato dai maggiori hoster italiani ma la musica non cambia, la sicurezza è scarsa i server lenti e i costi alti, ti consiglio di fare come me e migrare il tuo dominio all'estero, ora sono tranquillo e spendo la metà per un servizio più veloce e professionale. Io personalmente ora ho tutto ostata negli USA. Sono sicuro che se provi a ricaricare il tuo sito su un altro dominio vedrai che funziona alla perfezione. Fai una prova ci sono un sacco di siti anche italiani che ti fanno fare prove gratuite almeno cosi ti togli il dubbio se il problema è tuo (improbabile) o di chi sta hostando il sito ora.

    0
  • L
    Bannato User Newbie

    Per rendere sicuro un server web devi studiarti bene bene le caratteristiche e i punti deboli di quello che gira sul server web, quindi sistema operativo, programma che funge da web server, eventuali application server.
    Esistono tante pratiche cercare di rendere sicuro un server web, le prime e più banali sono configurare un firewall, o addirittura mettere il server web in DMZ, poi esporre solo i servizi che effettivamente servono, tenere aggiornati sistema operativo e web server con tutte le patch necessarie, usare password difficili da indovinare e cambiarle con una certa frequenza, tenere il server in un ambiente protetto e limitarne l'accesso, e tante altre cose...
    Insomma, le misure da prendere sono tante, e non possono essere spiegate in tre parole, soprattutto se non si conoscono sistema operativo e web server (Apache? IIS?)

    0
  • F
    User Newbie

    @LaKo1 said:

    Per rendere sicuro un server web devi studiarti bene bene le caratteristiche e i punti deboli di quello che gira sul server web, quindi sistema operativo, programma che funge da web server, eventuali application server.
    Esistono tante pratiche cercare di rendere sicuro un server web, le prime e più banali sono configurare un firewall, o addirittura mettere il server web in DMZ, poi esporre solo i servizi che effettivamente servono, tenere aggiornati sistema operativo e web server con tutte le patch necessarie, usare password difficili da indovinare e cambiarle con una certa frequenza, tenere il server in un ambiente protetto e limitarne l'accesso, e tante altre cose...
    Insomma, le misure da prendere sono tante, e non possono essere spiegate in tre parole, soprattutto se non si conoscono sistema operativo e web server (Apache? IIS?)

    scusa ma quello che hai scritto da per sottinteso che uno si affitti un server e se lo configuri come vuole cosa che non fa nessuno a livello base, per cui è l?hoster che deve darti una macchina configurata a dovere che tra altro non puoi minimamente riconfigurare ovviamente visto che oltre al tuo dominio che ne sono altre centinaia sulla stessa macchina.

    0
  • M
    User

    Ciao. Il consiglio che ti posso dare è di pulire la cash del browser e aspettare 24 ore che il sito venga ricontrollato dal tool sulla sicurezza.

    0
  • 1
    User

    @FrancoG said:

    Ho contattato l'hosting provider e mi ha detto quanto segue:

    "O il computer locale o la rete è infetta, oppure dei malware sono stati lasciati all'interno di public_html (forse un. Htaccess redirect) oppure uno script che installato è vulnerabile. Il nostro server è completamente sicuro"

    Il pc mio mi sembra strano in quanto come dicevo ho provato a reinstallare con due os diversi tra cui uno appena installato su pendrive usb appena formattata. Non ho neanche usato un programma ftp, ho instalalto dal loro cpanel.
    All'interno di public_html non c'era nulla perchè ho reinstallato tutto da zero

    Non capisco perchè debbano sottolineare che il loro server è perfettamente sicuro io nemmeno glielo avevo chiesto e cmq come fanno ad esserne tanto sicuri? Tanto + che sul mio stesso ip (sono su shared hosting) so che ci sono due siti con malwares. Cmq non sarà certo quello il problema

    L'hosting provider è inglese e la frase esatta era "Either the local computer or network is infected"

    Devono dare garanzie, altrimenti perderebbero utenti, hahaha.
    Se hai installato l'os da 0 e nella tua rete non ci sono altri pc collegati 24/7 mi sembra molto difficile che sia la tua rete ad essere infetta, controlla accuratamente il file .htaccess, joomla in questo caso viene in nostro aiuto.
    docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

    Anche se un pò in ritardo spero possa esserti utile, e spero che lo sia anche ad altri utenti. 🙂

    0
Effettua l'accesso per rispondere