Attacco hacker ??

Da questa mattina non riesco più a collegarmi al sito che amministro www.progressoai.altervista.org ;
mi rimanda da un collegamento "Haked TeKaSi" sito di haker (?) turchi abbastanza inquietante.
Premetto che non sono molto esperto di queste cose, ma mi chiedo come è stato possibile tutto questo?
Collegandomi nella stringa/indirizzo il nome del sito è esatto essendo memorizzato tra i preferiti ma subito dopo pochi secondi sono reindirizzato ad auna pagina nera con scritte in turco e musica Rap turca in sottofondo.
Con il programma di scambio dati FTP (filezilla) e da qui riesco comunque a vedere ancora intatto tutto il contenuto del mio sito file, immagini ecc. .

Qualcuno mi può aiutare a capire cosa è successo e come devo fare per riportare il tutto a prima di questo fatto.
grazie
marco

[makpaolo]

prova a richiedere il reset della password http://it.altervista.org/service/recovery.php

in modo da riavere l'accesso.

Controlla il tuo pc con antivirus aggiornato e cambia le password della posta elettronica

E' sempre consigliabile utilizzare password complesse e sempre diverse a seconda sei servizi

Se hai un backup dei file, ricaricali e se usi forum /cms controlla che sia aggiornato all'ultima versione disponibile.

Ho fatto come mi hai consigliato e ho richiesto il reset della mia password:
ma non so dove inserirla/cambiarla in modo da riavere l'accesso.

L'antivirus sul mio pc. è aggiornato

[makpaolo]

ti dovrebbe arrivare una mail con la nuova password temporanea, se l'email non arriva potrebbero averti modificato l'indirizzo nel pannello di Altervista.
Controlla anche la cartella "spam"

La nuova password è arrivata ma ripeto, dove la devo modificare/inserire ??

grazie
marco

[makpaolo]

la usi per effettuare l'accesso al pannello di Altervista (funziona anche per l'FTP)
dal pannello poi vai in profilo e ne inserisci una nuova

Ho fatto come mi dici cioè recuperato una nuova password generata dal sistema e una volta entrato nel mio profilo provato a cambiare la mia password.
Il sistema mi richiede la vecchia password per confermare l'operazione.
Il problema è che mi rifiuta la vecchia password pechè dice che è errata !!
Ho provato a farmi ridare una nuova password e usare la precedente come vecchia: stessa risposta!!
non so più cosa fare.
marco

[dreadnaut]

Ehm... quando fai il cambio la "precedente" è l'ultima che ti è stata mandata, quella con cui sei entrato.

[darkwolf]

Con il programma di scambio dati FTP (filezilla) e da qui riesco comunque a vedere ancora intatto tutto il contenuto del mio sito...

@makpaolo: perchè gli hai fatto resettare la password (per riavere l'accesso) se dice chiaramente che riesce ad accedere via ftp?
-
@progressoai: la cache di google indica che usi/usavi e107 nel tuo sito.
Probabilmente hanno eseguito un attacco su questo ed hanno defacciato la sezione news.
I file probabilmente sono ancora intatti.
Ritengo sia necessario agire via database per riparare il tutto :)

[makpaolo]

percè se sono riusciti ad accedere possono averla trovata, il reset è il metodo più veloce per cambiarla.

Per Makpaolo: la password che uso per entrare è l'ultima che ti è stata mandata che il sistema accetta correttamente.
E' la vecchia password che non mi riconosce in alcun modo inpedendomi le modifiche che mi avevi suggerito.

Per darkwolf: confermo che via FTP il sito è ancora visibile e con i file probabilmente intatti.
Come fare via database per riparare il tutto? Tieni conto che non sono molto (eufemismo) esperto nella materia.
Il sito mi è stato creato fisicamente da un amico: io mi limito, modestamente, a gestirlo.

Grazie
marco

[makpaolo]

quando fai il cambio password, la "vecchia password" è quella usata per accedere, non quella che avevi prima del reset.

la vecchia password è quella che avevo prima del reset e uso quella nuova, dopo il reset per accedere ad altervista

[makpaolo]

allora, tu non riesci a cambiare la password nel pannello giusto?
ok, quando chiede la "vecchia password" chiede quella attuale, tutti i sistemi di modifica della password funzionano così.
Il termine "vecchia password" può trarre in inganno, ma si intende sempre quella usata al momento, in quanto appena cambiata, diventa vecchia.

Finalmente !!
Operazione riuscita: cambio password realizzato.
Con il programma di scambio file ftp leggo ancora tutto come prima ma se tento di entrare nel sito i turchi ci sono ancora!!
cosa faccio ora??

[makpaolo]

risolto questa cosa, usavi un cms/blog/forum basato su mysql? se si, puoi fare 2 cose:
1) tramite phpmyadmin cercare nelle varie tabelle dove hanno inserito il redirect
2) provare, da pannello di Altervista, a fare un ripristino del database a poco prima che il fatto succedesse

in ogni caso, prova a scaricare il file index e vedi che non abbiano modificato quello.

Una volta ripristinato il tutto, controlla se esiste una versione più aggiornata del cms/blog/forum o qualsiasi altra cosa utilizzavi.

sono entrato tramite phpmyadmin per cercare nelle varie tabelle dove hanno inserito quello che chiami "redirect" ma con la mia scarsa esperienza (non so cosa cercare) non ho trovato niente !!
Mi dovresti spiegare come faccio dal pannello di Altervista, a fare un ripristino del database a poco prima che il fatto succedesse: sono entrato nel pannello ma non vorrei combinare guai non sapendo bene dove e cosa fare.
Ho trovato questi dati. Possono essere utili?

* Hostname/server: localhost
* Username: progressoai
* Password: facoltativa (puoi lasciare il campo vuoto)
* Database: my_progressoai

Ho provato a ricercare il file index dal pannello ftp di filezilla ed effettivamente risulta modificato (ha un'icona diversa dalle altre con logo firefox) ma non saprei come fare per entrarci e verificare se hanno modificato questo.

[makpaolo]

pannello di altervista -> tools -> altro -> Ultimo backup e Ripristino del database mysql

ti dirà di quando è l'ultimo backup disponibile, controlla bene la data

[darkwolf]

percè se sono riusciti ad accedere possono averla trovata, il reset è il metodo più veloce per cambiarla.

Ok, capisco :)
-
Comunque le altre pagine del cms funzionano correttamente:
http://progressoai.altervista.org/signup.php
http://progressoai.altervista.org/login.php
http://progressoai.altervista.org/download.php
ecc...
-
Purtroppo non riesco a vedere "quale" versione di e107 usi il tuo sito (sarebbe molto utile saperlo)
-
Prova a loggarti direttamente nel pannello admin: http://progressoai.altervista.org/e107_admin/admin.php
e verificare che il cecksum dei file sia corretto (e107 se ben ricordo ha un sistema interno di controllo) :)

Per darkwolf:
Come mi hai detto sono riuscito a loggarmi direttamente nel pannello admin: http://progressoai.altervista.org/e107_admin/admin.php
e ho potuto verificare questi dati:
Sito : Progresso e Solidarieta per Aicurzio (MI)

Amministratore Principale
alelazza

e107
Versione v0.617 build 20040917

Tema
e107.v4 v1.0 by jalist (11/06/2003)
Info:

Data di installazione
Tuesday 06 September 2005 - 12:17:31

Server
Apache
(host: progressoai.altervista.org)

Versione PHP
4.4.9

mySQL
4.1.22-standard-log
Database: my_progressoai

Per Makpaolo : HO FATTO COME AHI DETTO . Sono entrato nel pannello di altervista -> tools -> altro -> Ultimo backup e Ripristino del database mysql:
l'ultimo backup disponibile è del 16-08-2009 data in cui il sito funzionava ancora correttamente.
Il sistema mi dice di attendere qualche minuto ma sono già passate delle ore e la situazione apparentemente non cambia.

[darkwolf]

Il problema deriva dalla vecchia release di e107 (decisamente buggata): http://seclists.org/bugtraq/2005/Jun/0144.html
Insomma, bisogna riparare e aggiornare il cms per evitare che accada ancora.

Grazie darkwolf per aver individuato la fonte del problema ma come faccio a riparare e aggiornare il cms per evitare che accada ancora?
e soprattutto sono in grado di farlo?

grazie

[darkwolf]

Grazie darkwolf per aver individuato la fonte del problema ma come faccio a riparare e aggiornare il cms per evitare che accada ancora?
e soprattutto sono in grado di farlo?

grazie

Non conosco bene e107 (lo testai in passato per un limitatissimo periodo di tempo).
Io scaricherei la nuova versione e seguirei le istruzioni per l'aggiornamento.
Fatto ciò, se l'attacco è avvenuto ai file, il problema si risolverebbe direttamente.
Se invece non dovesse bastare, vedremo di cercare nel database la stringa incriminata ed eliminarla :)
http://www.e107italia.org/download.php?view.1 -> dentro le istruzioni per l'aggiornamento

Ho eseguito il download del nuovo pacchetto e107 e ...ora cosa faccio?
Lo inserisco nel sito attraverso il programma per file ftp?
se si cosa succede al vecchio contenuto, si perde tutto o si può recuperare ?

grazie

[darkwolf]

Ho eseguito il download del nuovo pacchetto e107 e ...ora cosa faccio?
Lo inserisco nel sito attraverso il programma per file ftp?
se si cosa succede al vecchio contenuto, si perde tutto o si può recuperare ?

grazie

Prima, ovviamente, backup di database e file.
Poi segui le istruzioni per l'aggiornamento e spera che vada tutto liscio :)

Avrai capito che sono all'"ABC" della materia
Comee dove faccio faccio backup di database e file?
e le istruzioni dove le trovo per l'aggiornamento che mi suggerisci di fare?
è quel ..... spera che vada tutto liscio che mi preoccupa! ricordi la legge di Marphy ?
grazie
marco

[darkwolf]

Avrai capito che sono all'"ABC" della materia
Comee dove faccio faccio backup di database e file?
e le istruzioni dove le trovo per l'aggiornamento che mi suggerisci di fare?
è quel ..... spera che vada tutto liscio che mi preoccupa! ricordi la legge di Marphy ?
grazie
marco

Nel forum ci dovrebbe essere un topic che spiega passo passo come fare il backup del database (via php-my-admin).
Per il backup dei file basta scaricarli e salvarli in locale tramite l'ftp

Non mandarmi a ca...re ma in quale forum trovo il "topic" (?!? e che è?) che spiega passo passo come fare il backup del database (via php-my-admin).
Per il backup dei file basta che li trasferisco in una cartella del computer ?
Ulteriore dubbio: ma questo caricamento del nuovo download del nuovo pacchetto e107 non è che mi cambierà tutta la grafica del mio sito?
grazie per la tua pazienza
marco

[darkwolf]

Non mandarmi a ca...re ma in quale forum trovo il "topic" (?!? e che è?) che spiega passo passo come fare il backup del database (via php-my-admin).
Per il backup dei file basta che li trasferisco in una cartella del computer ?
Ulteriore dubbio: ma questo caricamento del nuovo download del nuovo pacchetto e107 non è che mi cambierà tutta la grafica del mio sito?
grazie per la tua pazienza
marco

Loggati al pannello di controllo di altervista: tools->phpmyadmin->clicchi sul nome del tuo database->selezioni tutte le cartelle->esporta.
Per i file si, copiali semplicemente in una cartella del tuo pc.
per il tema (la grafica) se il tema è compatibile funzionerà anche dopo l'aggiornamento (chiedi informazioni al creatore del tema per averne la certezza)

Ho fatto quello che mi consigli ed ecco cosa mi dice il sistema:

Errore

query SQL: Documentazione

SELECT `information_schema`.`SCHEMATA` . *
FROM `information_schema`.`SCHEMATA`
GROUP BY BINARY `information_schema`.`SCHEMATA`.`SCHEMA_NAME`
ORDER BY BINARY `SCHEMA_NAME` ASC

Messaggio di MySQL: Documentazione

cosa faccio esporto anche in presenza di un errore?
grazie