Attacco Hacker

[emanuelo]

Ciao a tutti, mi hanno attaccato il sito, un hacker. 

www.drogheriasulmona.it potete vedere da voi.

Qualcuno può aiutarmi e dirmi cosa fare per tornare online il prima possibile?

Grazie a tutti.

[nencinishop]

Salve a tutti anche io sono stato attaccato su tutti i miei siti:

www.arredocasastore.it

www.bambinoshop.it

www.nencinishop.it 

www.soclangroup.it 

è veramente un disastro.... come fare per evitare tutto cio?

[ariom]

Ciao a tutti e due....

 

1)   Assolutamente cambiare la password ftp dal pannello di controllo del vostro hosting

 

2)   la via più semplice è contattare il vostro hosting.... sperando che  facciano un backup almeno settimanale se non quotidiano....e chiedere il ripristino del sito e del database ....ma perdete gli ordini e registrazioni dalla date del bkp alla data dell'intrusione....

 

altrimenti @emanuelo, questo è un 3d interessante per eseguire tu stesso la pulizia [email protected] tuo lavoro è moltiplicato x 4

http://www.prestashop.com/forums/topic/264340-tip-site-hacked-first-steps-to-recovery/

e continuate la ricerca sul forum....anche quelli inglese francese o spagnolo che sono più come dire....frequentati

 

importante anche dopo la pulizia, settare i permessi di file e cartelle in maniera adeguata....

http://www.prestashop.com/forums/topic/237267-permission-of-file-and-folders/?hl=file+and+folder+permissions&do=findComment&comment=1223980

 

e fare dei frequenti backup del sito e del DB....la vostra sicurezza non va delegata...è nelle vostre mani

 

fatemi sapere....Auguri!!!

ariom

Edited October 29, 2013 by ariom (see edit history)

[maipiusenza]

tutti i domini da voi citati sono gestiti con lo stesso hosting.

Probabilmente la vulnerabilità è del provider, fatelo presente.

 

Nadia

[emanuelo]

tutti i domini da voi citati sono gestiti con lo stesso hosting.

Probabilmente la vulnerabilità è del provider, fatelo presente.

 

Nadia

Un hosting migliore quale può essere?

[emanuelo]

Ciao a tutti e due....

 

1)   Assolutamente cambiare la password ftp dal pannello di controllo del vostro hosting

 

2)   la via più semplice è contattare il vostro hosting.... sperando che  facciano un backup almeno settimanale se non quotidiano....e chiedere il ripristino del sito e del database ....ma perdete gli ordini e registrazioni dalla date del bkp alla data dell'intrusione....

 

altrimenti @emanuelo, questo è un 3d interessante per eseguire tu stesso la pulizia [email protected] tuo lavoro è moltiplicato x 4

http://www.prestashop.com/forums/topic/264340-tip-site-hacked-first-steps-to-recovery/

e continuate la ricerca sul forum....anche quelli inglese francese o spagnolo che sono più come dire....frequentati

 

importante anche dopo la pulizia, settare i permessi di file e cartelle in maniera adeguata....

http://www.prestashop.com/forums/topic/237267-permission-of-file-and-folders/?hl=file+and+folder+permissions&do=findComment&comment=1223980

 

e fare dei frequenti backup del sito e del DB....la vostra sicurezza non va delegata...è nelle vostre mani

 

fatemi sapere....Auguri!!!

ariom

Ariom ho iniziato la procedura, vediamo un pò che riesco a combinare, anche perchè l'hosting non riesco più a contattarlo.

[Gipielle]

Sembra più una mal configurazione del server

[emanuelo]

Sembra più una mal configurazione del server

Adesso è cosi, perchè ho rimosso la hompage che aveva messo l'hacker. se vai su www.arredocasastore.it vedi che c'era prima

[emanuelo]

Io ho risolto così, cambiato la password ftp, scaricato una versone vergine di prestashop e sostituito le pagine index compromesse con quelle vergini, in questo modo mi faceva accedere al BO ma non alla homapage del sito, quindi ho fatto un salvataggio del database, sia dati che dal BO, ho fatto un rollback alla versione 1.5.5, appena finito riaggiornato alla versione 1.5.6. Così funziona tutto, però ora voglio reinserire i dati e gli ordini (comprese schede cliente) di quel lasso di tempo che il rollback mi ha cancellato. Sapete dirmi come fare? 

[ariom]

mmh....fai anche il bkp del database come è adesso nel caso qualcosa vada male....

In poche parole devi trovare all'interno del db bkp precedente (quello che non funzionava ma con tutti i clienti ordini etc) le tabelle interessate e ripristnarle manualmente da phpmyadmin inserendole nel tab sql del tuo db.... devi svuotare le tabelle corrispondenti prima di eseguire le query....procedi gradatamente e controlla i risultati ne BO...da qualche parte nel forum c'era una lista delle tabelle di PS divise nei vari settori (clienti - ordini - carrelli - prodotti etc...)ma non riesco a trovarla ....comunque i nomi sono molto intuitivi

 

meglio era se facevi prima del rollback un export personalizzato da phpmyadmin con solo le tabelle interessate....ora bastava fare un import e il gioco era fatto

[emanuelo]

tutto ripristinato e funzionante, devo solo reinserire la foto di qualche prodotto inserito negli ultimi giorni grazie a tutti. mamma mia che paura però! è stato gentile l'hacker a non distruggermi tutto. Tuttavia è da segnalare la pecca nella sicurezza di Hosting2000 :/ 

[gg57]

Buongiorno a tutti. Verificando nelle statistiche, alla voce "Ricerca negozio" trovo 27 volte la seguente stringa:

999999.9 union all select 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536

che sembra essere riferita ad un tentativo di attacco SQL injection.

Non sembra aver sortito effetti, il DB è integro ed il sito funziona correttamente, però vorrei sapere se esiste la possibilità di tamponare questi tentativi (o bloccarli proprio, nella pagina mi indicano 27 occorrenze che hanno restituito 1 risultato) ed eventualmente qualche suggerimento per ulteriori controlli.

grazie a tutti

[tuk66]

Google 0x31303235343830303536 e vedrà che questo è il tentativo injenction SQL. Basta essere sicuri che la vostra versione del database MySQL non è vulnerabile.

 

 

Google 0x31303235343830303536 and will see that this is SQL injenction attempt. Just be sure that your MySQL database version is not vulnerable.

[IvanRizzo]

Da qualche giorno il mio sito sta subendo un attacco inusuale, probabilmente con un BOT stanno inviando da centinaia di indirizzi [email protected] diversi delle richieste di informazioni dal mio portale utilizzando il form dei contatti, il messaggio contiene sempre la stessa cosa:

"Галина, Вы попали пoд сoциaльную прoграмму "Онлaйн пoкупка"

Ранее Вы сoвeршали oнлaйн пoкупки (трaнзaкции) и oднa из них сталa победителeм социальной прoграммы!

Вас ожидaет денeжнoe вознaграждение с нашeгo пoощритeльнoго фoндa в размeре от 100$ до 9000$.

СМОТРИТЕ НИЖЕ.

Узнать сумму вознaграждeния"  

Prima arrivava 1 messaggio al giorno, poi 1 ogni ora, adesso siamo ad una frequenza di 1 ogni 10 minuti e sta intensificando.

A qualcuno è già capitato ? C'è un modo per filtrare questo testo ? Si tratta di un attacco esterno o hanno avuto accesso ?

[Sito Lab]

ciao, invece di aprire topic VECCHI al quale sono diversi, puoi visualizza che è presente già un topic aperto dove parla di questo cioè mail spam russe agganciati allo stesso e trovi la soluzione

grazie