Sito hackerato

Salve a tutti,
questo pomeriggio mi sono accorto che il sito del nostro circlo (sadoul.altervista.org) è stato hakerato da "MuCaHiT DarKKnight"; sono riuscito ad entrare tramite ftp nel sito ed ho visto che, per fortuna, i nostri file sono ancora lì... ho rinominato la pagina di index creata dall'hacker (così da rendere di fatto il sito off-line) ma non sono riuscito a ripristinare il vecchio sito (noi utilizziamo joomla).

Come posso fare? E come evitare che una situazione del genere si prensenti in futuro? grazie...

[darkwolf]

Dalla cache di google del 25 gen 2009 vedo joomla 1.5 ma esattamente quale release?
Per riparare devi vedere cosa "l'hacker" (?) [un hacker non fa deface tanto per sport] ha toccato e eliminare il suo codice... oppure ripristinare un eventuale backup.
Per evitare che accada ancora dovresti aumentare la sicurezza del tuo cms: assicurati di avere sempre la versione aggiornata sia del cms che di eventuali plugin/moduli aggiuntivi; usa password "sicure" e cambiale periodicamente; tieni sempre un backup aggiornato sia del database che del sito.
-
PS: sembra essere uno script kiddies turco e vedo che usa Microsoft FrontPage 5.0 per la sua "pagina", inoltre da quanto ho visto attacca solo joomla

[dapeco]

Per la situazione attuale: aggiornare il software presente sull'account (joomla) all'ultima versione disponibile, modificare le password prima della email associata e poi dell'account.

Per il futuro: utilizzare password molto complesse (almeno 8 caratteri con numeri e lettere maiuscole e minuscole), tenere sempre aggiornato il software presente sull'accuount.

Dalla cache di google del 25 gen 2009 vedo joomla 1.5 ma esattamente quale release?
Per riparare devi vedere cosa "l'hacker" (?) [un hacker non fa deface tanto per sport] ha toccato e eliminare il suo codice... oppure ripristinare un eventuale backup.

purtroppo non ho copie di backup sul mio computer, e la copia di backup di altervista è datata al 31/01/2009, successiva a quella della modifica del sito che sembra essere avvenuta il 29/01/2009...
infatti ho trovato un nuovo file index.php crato in quella data, andandolo ad aprire ho trovato la sua pagina... purtroppo cancellando questo file e sostituendolo con quello vecchio non ho ottenuto alcun risultato...
inoltre anche la pagina del pannello di amministrazione di joomla è stata modificata, ma non riesco a trovare il file in questione...

Per evitare che accada ancora dovresti aumentare la sicurezza del tuo cms: assicurati di avere sempre la versione aggiornata sia del cms che di eventuali plugin/moduli aggiuntivi; usa password "sicure" e cambiale periodicamente; tieni sempre un backup aggiornato sia del database che del sito.
-
PS: sembra essere uno script kiddies turco e vedo che usa Microsoft FrontPage 5.0 per la sua "pagina", inoltre da quanto ho visto attacca solo joomla

per quanto riguarda le password non ho compreso se è entrato tramite il pannelo di amministrazione di joomla (dove ho una password sia numeri che lettere di sei caratteri), o dal ftp di altervista (dove ho una password ancora più complessa)...

[darkwolf]

... purtroppo cancellando questo file e sostituendolo con quello vecchio non ho ottenuto alcun risultato...
inoltre anche la pagina del pannello di amministrazione di joomla è stata modificata, ma non riesco a trovare il file in questione...

Strano!
Hai svuotato la cache del browser dopo questa operazione?

per quanto riguarda le password non ho compreso se è entrato tramite il pannelo di amministrazione di joomla (dove ho una password sia numeri che lettere di sei caratteri), o dal ftp di altervista (dove ho una password ancora più complessa)...

È possibile che sia entrato sfruttando qualche bug di joomla (se sapessimo la tua versione sarebbe più facile capire come e perchè).

Strano!
Hai svuotato la cache del browser dopo questa operazione?
È possibile che sia entrato sfruttando qualche bug di joomla (se sapessimo la tua versione sarebbe più facile capire come e perchè).

si, cache svuotata...

si tratta di joomla 1.5.0, scusa se non l'ho scritto prima

grazie davvero per le risposte...

[darkwolf]

si, cache svuotata...

si tratta di joomla 1.5.0, scusa se non l'ho scritto prima

grazie davvero per le risposte...

- Ver. 1.5.9 Stabile Italiana.
Joomla è uno dei CMS più usati ergo uno dei più ambiti da lamer/cracker e simili.
È normale che, usando una versione così vecchia, l'abbiano defacciato.
Non me ne intendo molto di questo cms quindi magari aspetta qualcuno più esperto...
Io proverei a caricare la nuova 1.5.9 e fare l'upgrade.
Se il database non è stato toccato risolveresti il tutto.
Inoltre così facendo avrai: recuperato il sito; aggiornato il cms e aumentato la sicurezza.