Sito compromesso e defacciato.

Sito compromesso e defacciato.

di Giorgio Bertin -
Numero di risposte: 8

Sono Giorgio, nuovo per questo forum. Ho bisogno di aiuto urgente. Ho un account presso "Noamweb" all'indirizzo www.edumed20.it e quì è installato Moodle v. 2.0 ho inserito un corso abbastanza complesso con filmati e lezioni.

Ora mi è giunta una mail dai gestori dello spazio dove mi si dice che il sito e stato defacciato e compromesso e che mi sospendono l'account per sicurezza. Il loro consiglio è quello di rivolgermi ad un webmaster per ripulirlo.

Sono quindi alla ricerca, essendo io incompetente a riguardo, di una persona (anche a pagamento che mi dia una mano a risolvere la problematica).

La scorsa settimana ho installato un modulo per videoconference (BigBlueButton), non ancora usato;  non so sia stato questo a creare il problema.

Vi ringrazio veramente per una risposta e soprattutto se qualcuno competente mi può aiutare.

Ciao a presto

Giorgio

emai: giorgio.bertin@unipd.it

cell. 380 7308230

Media dei voti:  -
In riposta a Giorgio Bertin

Re: Sito compromesso e defacciato.

di Andrea Bicciolo -
Immagine Core developers Immagine Plugin developers Immagine Translators

Ciao Giorgio,

ecco alcune indicazioni per cominciare: http://docs.moodle.org/22/en/Hacked_site_recovery

Alcune linee guida sulla sicurezza: http://docs.moodle.org/22/en/Security_recommendations

Media dei voti:  -
In riposta a Andrea Bicciolo

Re: Sito compromesso e defacciato.

di Giorgio Bertin -

Andrea, grazie mille.

Sono tutte procedure abbastanza complesse al difuori delle mie conoscenze, mi occupo di formazione e di e-learning.

Mi sai indicare un web master che mi possa aiutare? Eventualmente lo contatto via e-mail e gli comunico i parametri per l'accesso. L'attacco mi dicono è stato fatto via web e non FTP.

Grazie di tutto, in particolare per la tempestività.

Un saluto

Giorgio

Media dei voti:  -
In riposta a Giorgio Bertin

Re: Sito compromesso e defacciato.

di Andrea Bicciolo -
Immagine Core developers Immagine Plugin developers Immagine Translators

Per caso hai chiesto al tuo provider ? Forse loro stessi possono valutare l'attività.

Media dei voti:  -
In riposta a Andrea Bicciolo

Re: Sito compromesso e defacciato.

di Giorgio Bertin -

Li ho contattati telefonicamente subito e mi hanno detto che forniscono solo lo spazio web e che mi devo rivolgere ad un web master per la ripulitura dell'account.

Media dei voti:  -
In riposta a Andrea Bicciolo

Re: Sito compromesso e defacciato.

di Giorgio Bertin -

Ciao Andrea,

in qualche modo sono riuscito a rispristinate l'account. Dal cPanel di gestione ho aggiornato la versione di Moodle 2.0 a Moodle 2.2.3 (ultima disponibile sul server).

Sembrava tutto bene, e invece quando accedo con le credenziali sia di amministratore che di utente, utilizzati nella versione 2.0 non mi riconosce più. Nell'aggiornamento vengono azzerrate?
Come posso fare a ripristinarle nella nuova versione? Senza di queste non accedo ai contenuti, anzi a nulla.

Ti ringrazio ancora per la collaborazione e disponibilità.

Ciao

Giorgio Bertin

Media dei voti:  -
In riposta a Giorgio Bertin

Re: Sito compromesso e defacciato.

di Andrea Bicciolo -
Immagine Core developers Immagine Plugin developers Immagine Translators

L'aggiornamento, se operato correttamente, non comporta la perdita dei dati o l'eliminazione di account utente, bisognerebbe conoscere però le procedure che hai utilizzato. 

In ogni caso puoi provare a verificare l'esistenza dei dati nel db, dal pannello di controllo che citi penso tu possa anche accedere a funzioni di gestione del database tipo phpmyadmin: potresti quindi accedere alle tabelle del database da interfaccia web e verificare le tabelle del database di Moodle, in particolare la tabella mdl_user.

Va detto che se il sito è stato compromesso, forse ti conviene ripartire utilizzando i backup più recenti effettuati prima dell'evento. Dovresti anche cercare di capire come l'evento si è verificato, in modo da eliminare l'eventuale falla di sicurezza e correre meno rischi per il futuro.

Media dei voti:  -
In riposta a Andrea Bicciolo

Re: Sito compromesso e defacciato.

di Giorgio Bertin -

Ciao Andrea,

ho fatto come mi hai detto sono entrato via web in phpmyadmin. nella tabella mdl_user si trovano i parametri di accesso dell'amministratore e degli utenti. Ho provato ad utilizzare queste credenziali per accedere ed amministrare il sito, ma niente mi continua a dire parametri errati.

Esiste qualche altro step da fare, oppure qualche altra tabella dove scrive i parametri di accesso. Incredibile non riuscire più ad entrare per gestire.

Grazie per le dritte.

Ciao Giorgio 

Media dei voti:  -
In riposta a Giorgio Bertin

Re: Sito compromesso e defacciato.

di Andrea Bicciolo -
Immagine Core developers Immagine Plugin developers Immagine Translators

La password che vedi tramite phpmyadmin sono hashed MD5. Sempre da phpmyadmin puoi però modificare la password editando il record che ti interessa. Se lo fai, ricordati di inserire la password che desideri usare utilizzando la funzione "md5", selezionabile dalla drop down a fianco del campo.

Altri spunti che ti possono essere utili:

Media dei voti:  -