Gli hacker mi hanno infettato il sito :(

[tommasodangelo]

Ciao a tutti,
sto allestendo un nuovo negozio osCommerce e pochi giorni fa sono stato attaccato da degli "Hacker" che mi hanno infettato il sito.
La mia versione è la 2.2 rc2 ed ho letto (soltanto adesso) riguardo le vulnerabilità note di questa versione.
Il sito in questione è http://www.tommasodangelo.it/shop

Ho già provato ad uploadare una copia di backup del 15 marzo, quando ancora funzionava, ma nel giro di massimo 24 ore il sito è dinuovo infettato.
Ho cancellato i file "file_manager.php" e "define_language.php".
Ho rinominato e protetto con password la directory "admin".

Nonostante ciò sono punto e a capo.

Esiste un modo per risolvere il problema definitivamente senza dover rifare il sito?

Grazie in anticipo!

[06voip]

per risolvere definitivamente cambia hosting.. è meglio investire anche un po' su quest'ultimo per evitare di trovarsi in queste situazioni. per ripulirlo invece prova a seguire i consigli che trovi in giro, anche sul forum ufficiale, o chiedi supporto nella sezione Job Opportunities

[tommasodangelo]

Grazie 06voip, quindi intendi dire che mi trovo in questa situazione a causa di aruba?

[06voip]

il fatto è che la maggior parte delle persone che ultimamente lamentano di subire attacchi è su aruba, probabilmente l'hanno presa di mira. La sicurezza dello shop spetta per primo a noi non all'hosting, tuttavia un hosting serio aiuta..

[tommasodangelo]

Eccomi quà 06voip con (forse) delle buone notizie

Riguardo l'hosting... non saprei realmente quanto ci possa entrare, anche perché ho letto di tante persone anche oltre oceano che hanno avuto in passato questo problema.

Comunque per conoscenza di tutti vi riassumo la mia esperienza:
sembra che i malintenzionati abbiano sfruttato una vulnerabilità nota di osCommerce 2.2 rc2 per venire a conoscenza delle mie password e successivamente entrare nel mio server per poter hackerare il sito.

Il risultato seguente fù che ogni utente che arrivava sul sito veniva reindirizzato verso un server di Bucarest che tentava di inviare un virus al malcapitato.

Dopo diversi tentativi ho reso più sicura la piattaforma di osCommerce cancellando i 2 famosi file "deboli"; ho modificato i permessi di tutti i file e cartelle; ho installato le addons per la sicurezza; ho cambiato tutte le mie password; ho rinominato e protetto la cartella admin con .htaccess; e grazie al "sitemonitor" ho cercato i file presuntamente "hackerati".

Li ho confrontati con gli originali di osCommerce, ripuliti dai codici "strani" e cancellato quelli sospetti.
Alcuni si chiamavano "cookie_usage.php" e contenevano al proprio interno del codice di decriptazione a 64 bit.
Altre pagine contenevano all'interno l'attivazione di un javascript che si confondeva in mezzo ad altro codice.
Alla fine ho individuato il javascript "malefico" e, dopo averlo rimosso sembra che adesso il sito funzioni correttamente.

Per avere la certezza assoluta dovrò attendere ancora almeno 12 ore per rendermi conto se si riattiva il virus e testare la piattaforma in tutte le sue funzioni...

Stay tuned

[06voip]

Ciao, spero per te che hai risolto, in effetti un po' di cose le hai fatte e rispetto a ieri sembra più stabile.. visto il momento critico mi ero trattenuto da farti i complimenti per lo shop, quando l'ho visto mi è piaciuto subito com'è l'hai impostato, semplice e pulito, però volevo evitare di inferire ulteriormente e te li faccio adesso

[tommasodangelo]

Grazie 06voip!!!

Tengo sotto cotrollo il sito da 4 giorni e finalmente non ho più problemi.
Fra l'altro l'ho rimesso visibile agli utenti ed ho già ricevuto i primi acquisti... quindi direi che ci siamo.
Ieri ho anche aggiunto il reCAPTCHA per i contatti, le registrazioni dei nuovi utenti ed il login per aumentare ulteriormente la sicurezza.

Il file infetto si chiama " swfobject.js " e si trovava nella root del sito.

Se tu od altri mi volete dare ulteriori suggerimenti per aumentare la sicurezza della piattaforma... ditemi pure

Grazieee!!!