featured-image

Ripristinare un sito Joomla dopo un attacco Hacker

joomla-hacked (1)In un precedente articolo abbiamo visto come è possibile ripristinare un sito in WordPress dopo un attacco Hacker, adesso tratteremo il ripristino di un sito Joomla che sia stato violato e le operazioni necessarie per metterlo in sicurezza.

Ultimamente gli attacchi degli Hacker – o meglio dei BOT, cioè software istruiti a scansionare la rete alla ricerca di vulnerabilità conosciute – sono diventati notevoli sui siti Joomla in quanto molti amministratori hanno lasciato installate vecchie versioni, oramai obsolete e non più supportate  dagli sviluppatori.

Versioni 1.0.x e 1.5.x di Joomla sono ancora attive e queste sono un “invito a nozze” per gli Hacker, così come la versione 2.5.x o comunque le versioni inferiori alla ultima release di Joomla rilasciata hanno, seppur in minore misura, vulnerabilità conosciute.

Naturalmente anche la parte componenti, plugin e moduli non va trascurata: tenere aggiornata la versione di Joomla ma non curarsi dei componenti, plugin e moduli non risolve il problema sicurezza!

Ma cosa fa di solito un Hacker – o BOT – quando viola un sito? e perchè lo fa?

Oggi sembra che gli obiettivi siano un po’ cambiati rispetto agli anni passati: non si buca più un sito per soddisfare la propria vanità mettendo in home page il proprio logo, ora ci sono scopi più pratici – e sovente commerciali – quali quelli di avere a disposizione un sito per inviare spam o per reindirizzare traffico proveniente dai motori di ricerca a siti terzi.

Quindi l’Hacker non ha più come obbiettivo farsi notare e non distruggerà il sito che continuerà a funzionare ma caricherà file malevoli al suo interno, file sparsi nelle varie cartelle in modo da non attirare l’attenzione su di essi, premunendosi anche di impostare la loro data di creazione in modo che coincida con quella dell’installazione originaria del CMS o delle estensioni installate in modo da renderli indistinguibili.

Sovente l’Hacker caricherà anche uno o più file che gli possano permettere di riprendere possesso del sito nel caso il suo hack sia stato neutralizzato, un file php che consenta l’esecuzione di comandi remoti e che sarà nascosto tra le migliaia di files che compongono l’installazione di Joomla!.

Pertanto quando l’hacker ha sparso cavalli di troia per tutto il sito, è inutile ricaricare il backup o sovrascrivere la versione di Joomla con una versione più recente, o con una versione appena scaricata e quindi sicura, dato che l’operazione ripristinerà il sito solo momentaneamente non andando a sovrascrivere i cavalli di troia: all’hacker basterà richiamare uno di questi per ripristinare nuovamente il controllo del sito.

Ripristino del sito Joomla violato:

Vediamo ora come sia possibile rimettere in sicurezza un sito, in una maniera differente e più drastica rispetto a quella già descritta.

1) Backup

Come consuetudine la prima cosa da fare è un backup del sito, sia dei file sia del database MySQL scaricando tutto in locale.

2) Nuova installazione

Scaricare – possibilmente nelle stesse versioni della installazione online –  i pacchetti di Joomla e di tutte le estensioni (componenti, plugin, moduli, ecc.) che avete sul sito online e installare tutto su una macchina di test.

L’installazione dovrebbe essere identica a quella online, cioè la stessa versione di Joomla, gli stessi componenti, plugin e moduli (possibilmente nella identica versione del sito online). Ogni aggiornamento a versioni successive sarà eseguito in seguito.

3) Sincronizzare i siti

Controllare che nel database salvato non vi siano al suo interno iframe e javascript che danneggino i visitatori e lo facciano escludere dai motori di ricerca, capita raramente ma sebbene questo non abbia ripercussioni dirette sul sito potrebbe – oltre che a causare danni ai visitatori – fa scendere la credibilità del sito nei motori di ricerca.

Una volta sicuri che il database sia pulito si dovrà caricarlo al posto del database ottenuto con la nuova installazione appena eseguita.

Il passo successivo è il trasferimento delle immagini e dei documenti, operazione questa da eseguire con la massima attenzione per evitare di trasferire anche i cavalli di troia.

Sicuramente dovremo trasferire il contenuto di /images/ e l’eventuale cartella destinata ai downloads e le immagini eventualmente posizionate all’interno dei componenti (ad esempio le immagini di categorie e prodotti in virtuemart).

Nel compiere questa operazione dovremmo assicurarci che ogni file sia esattamente del tipo desiderato: mai fidarsi solo delle estensioni, ogni file deve essere controllato.

4) Test di funzionamento

Se tutto è andato a buon fine, verificare che siano presenti tutte le immagini e i documenti e i download, si avrà una copia funzionante e assolutamente pulita del sito che era stato violato.

5) Aggiornare il sito

La copia del sito che ora si ha ottenuto è senz’altro pulita (ovviamente se si avrà controllato bene le cartelle immagini e documenti) ma è la stessa che già vi hanno bucato e quindi è vulnerabile. Pertanto è indispensabile provvedete ad eseguire tutti gli aggiornamenti disponibili prima di metterla online.

Inoltre sarebbe opportuno installare alcuni sistemi di sicurezza e apportare alcune modifiche per limitare ulteriori violazioni come descritto in questo articolo e in questo.

6) Trasferire il sito e metterlo online

Prima di trasferire la copia pulita ed aggiornata ottenuta in linea è necessario cancellare ogni file presente nella root del dominio: solo in questo modo si potrà essere sicuri di non aver svolto un lavoro inutile.

Sarà necessario poi aggiornare il file configuration.php, ma non usare quello vecchio se non dopo attenta verifica del contenuto.

Conclusioni

Le operazioni descritte richiedono una certa competenza e tempo, non scoraggiatevi ma procedete con calma, pazienza e molta attenzione. Nel caso non abbiate tempo o competenze è possibile richiederci un preventivo per il ripristino di un sito in Joomla (o WordPress): il lavoro sarà eseguito interamente da noi, ripulendo il sito e aggiornandolo alla ultima versione disponibile.

Se avete domande o richieste particolari, non esitate a contattarci e se l’articolo vi è piaciuto un “mi piace” è una ricompensa al nostro lavoro molto gradita 🙂

 

Post Your Comment

CYBERSPAZIO WEB HOSTING di Mattiuzzi Marco | Partita I.V.A. 02131900025 | Codice Fiscale MTTMRC55M30L750R | PEC cyberspazio@pec-email.it |