[RISOLTO]Numerose intrusioni sul sito.

[blufix79]

Mi hanno appena risposto dall'assistenza.

"abbiamo rimosso tutti i file nella directory temporanea"
tutti i file? chissà quanti erano!! ma è possibile che non se ne accorgano loro senza che gli avvisi qualcuno??

[mau_develop]

ma è possibile che non se ne accorgano loro senza che gli avvisi qualcuno?
--------------------------------------------

accorgano di che cosa?

allora, continuiamo a parlare di bestie strane trojan,virus,backdoor e alla fine nascono i mostri, sembra di vivere tra i manga

Lascia perdere questa visione e pensa semplicemente che hai un problema: qualcuno ha trovato il modo di far fare al tuo sito (inteso come codice) qualcosa di inaspettato/non voluto.

Molte volte il limite è proprio questo, non sono script fatti con la penna rossa o puzzano,... sono uguali agli altri, è lo scopo che è malevolo.

una backdoor non è altro che uno script interno al sito che mi permette dall'esterno di lanciare comandi coi privilegi del possessore del sito, come se fosse uno script voluto, un servizio.
Anche un antivirus che potrebbe fare? blocca tutti gli invii di mail? ... e se stai spedendo la newsletter?

No, la manutenzione è affidata al webby che deve avere le competenze necessarie, joomla poi lo può usare anche il nonno....

M.

[blufix79]

l'assistenza mi ha appena effettuato un backup e rimosso tutto dalla directory del sito.
le loro parole: "visto la presenza di file pericolisi le ho effettuato nuovamente un backup del sito attuale
ersonard-21-05-10.tgz
e rimosso tutto il materiale presente nella sua home (compresi file e directory nascosti).

EDIT: Sono costretto a tenere il sito off-line? mi sembra assurdo..

[mau_develop]

EDIT: Sono costretto a tenere il sito off-line? mi sembra assurdo..
----------------------------------------------------------------

allora, prima di rimettere qualsiasi cosa cambia i dati.

metti una nuova .17

spulcia il db e aggancialo,... ci saranno un po' di errori.

fai una cosa per volta, controlla il template  e uppalo e via via così

FAI GIRARE un antivirus. se hai problemi nell'ftp o nel browser si ripete tutto.

M.

[blufix79]

Sto facendo fare una scansione, ma l'antivirus non trova nulla ne su ftp ne su browser.

Inoltre sto facendo fare una scansione anche sul backup del sito che mi ha fatto l'assistenza (lo scaricato in locale), ma per ora nulla.

Ripeto l'installazione pulita e seguo i passi che mi hai indicato, speriamo bene.

Se puo essere utile, il log è pieno di chiamate simili a quelle di ieri sera, che ho gia postato.

[mau_develop]

il log è pieno di chiamate simili a quelle di ieri sera, che ho gia postato.
------------------------------------------

questo te lo hanno già spiegato prima, nel punto in cui mi sono introdotto nel 3d.
Se il server è configurato a dovere e non hai installato addons strane o datate, quella stringa non funziona, se vuoi provala sul mio o su qs sito.

Se poi ti rimangono dubbi Vamba ti ha spiegato dove sta il problema e perchè viene chiamato il controller, ma non è un problema della versione.

M.

[blufix79]

Se poi ti rimangono dubbi Vamba ti ha spiegato dove sta il problema e perchè viene chiamato il controller, ma non è un problema della versione

Nessun dubbio, anche perchè dopo aver fatto la correzione al codice suggerita da Vamba ho riprovato la stringa ma non succede nulla.

Mi sembra di aver capito che l'hoster ha rimosso i miei file in maniera preventiva, quando dice "vista la presenza di file pericolosi" intendeva quelli presenti nella /tmp, anche perchè dopo scrivono:

"all'interno della /tmp o erano presenti directory nascoste usando attributi
del filesystem, onde evitare problemi ho rimosso il tutto cancellandole l'intera radice e ricreandola.
Oltre a questo erano state inserite nel crontab degli script che andavano a scrivere nella sua public..."

EDIT: confermo che è stato fatto in maniere preventiva.

[mau_develop]

erano state inserite nel crontab
--------------------------------

eggià, un po' di tempo fa avevano fatto la stessa cosa al mio spazio, diventavo stupido a ripristinare, non riusciva più l'attacco ma risultavano cambiate le date di ultima scrittura, che cos'era?

quello! non mi ero accorto del nuovo servizio di crontab che avevano aggiunto e dell'impostazione che avevano messo.
Il file si apriva, l'iniezione non funzionava e il file veniva chiuso. ... ma ho dovuto arrivarci da solo ...

M.

[blufix79]

Grazie Maurizio,

senti ora non è che voglio sapere come vengono inseriti gli script nel crontab, ma potresti dirmi se per inserirli potrebbero essere passati da qualche buco sul mio sito, oppure è sempre un problema delle famose "maglie larghe" sul server di cui parlavi?

EDIT: Ho un problema con i permessi, gli sto settando a 444 per i files e 555 per le directory, come suggerito da Marco, ma ho notato che per queste la modifica non viene accettata, rimangono 755.

[mau_develop]

senti ora non è che voglio sapere come vengono inseriti gli script nel crontab
--------------------------------------------------------------------
beh... hanno tutte le password, non credo sia così difficile

...per i permessi ... veditela con Marco

M.

[blufix79]

Ok grazie, Maurizio.

Allora per i permessi attendo Marco e visto che ci sono chiedo se esiste qualche wiki o topic (ho fatto una ricerca ma nulla) dove si parla dei permessi da assegnare alle varie directory e file del core joomla. Questo perchè non so se assegnare 555 a tutte le directory oppure qualcuna deve rimanere con 755.

Ps. Mi accorgo di non essermi mai firmato.
Salvatore.

[blufix79]

Uppo perche mi succede una cosa stranissima.
Premetto, che da venerdi sera dopo il mio ultimo post, sembra (dico sembra) che non ci siano stati più problemi, noto nel log che qualche simpaticone tenta ancora di eseguire dei LFI su quel componente, ma evidentemente senza successo.

Ora vi dico cosa mi capita. Lavoro su winzozz, e utilizzo easyphp in locale. Accedendo tramite ftp, all'interno della cartella administrator, mi ritrovo costantemente una directory che riproduce il percorso locale dove ho installato easyphp compresa la cartella www e quella di joomla in locale, e pecisamente:

C:/Programmi/EasyPhp/www/sito/tmp

la tmp è vuota.

E già capitato a qualcuno?