Attaco con redirect su pagina bianca... scambiamoci opinioni

[queengab]

Ciao a tutti,

ho letto un ble po' di post riguardo l'argomento in oggetto. Negli ultimi giorni sembra che i inostri siti joomla siano statia attaccati da qualche bot malefico che riscrive codice su alcune pagine interne.

A me personalmente è successo questo:
a tutte le index.php è stato attaccato il seguente codice:

eliminato


Mi è già capitato tre volte... Ho dovuto sempre rimettere tutto in piedi a mano...

Ora mi chiedo.. Ho joomla 1.5.20 i componenti quasi tutti agigornati e mi sono informato su eventuali bug-fix.. Il mio hosting provider dice che è vulnerabilità di joomla... Io non so cosa pensare ma dovrei fare un bel controllo anche su tutti i moduli e plugin, dateci qualche suggerimento in merito..

Quello che penso è che sia un arttacco xss da un fomr (o quello di cerca o quello dei contatti) ma il più mi resta oscuro oltretutto l'hosting non mi fornisce il log di apache per capire cosa succede.

Voi siete a conoscenza di eventuali problemi con apacche 2.2.9 e joomla?
No so veramente che pesci prendere...

Suggerimenti
gabriele

ps: al joomla day si parlerà anche di sicurezza=

[mau_develop]

Il mio hosting provider dice che è vulnerabilità di joomla...
---------------------------------------------------------------------------------
il tuo provider è avanti! che comunichi anche a noi quale....

Se ti bucano hai problemi tu.
se tu cancelli tutto e installi daccapo una nuova .20 e non aggiungi estensioni l'unico modo di bucarlo è con un trapano presso la web farm.

ti starai portando dietro qualche scemenza nei files... hai qualche addons non aggiornata, hai un provider dellla cippa e le persone scorrazzano sui suoi server come a gardaland.

Oppure hai il pc pieno di trojan che se fai girare un av passi la giornata a sentire i "bip"

M.

i componenti quasi tutti agigornati
----------------------------------------------
...quel quasi ti frega

[queengab]

Sei sempre così gentile quando qualcuno chiede aiuto?

Comunque non ho trojan sul pc non sono così sprovveduto...
Provo ad aggiornare tutte le estensioni.. ne ho due non aggiornate...

Come faccio a vedere se qualche file ha un exploit direttamente sul sito?


Grazie
gabriele

[mau_develop]

Sei sempre così gentile quando qualcuno chiede aiuto?
----------------------------------------------------------------------------
...no no anche peggio... scusa ma dov'è che sono stato scortese? ...nella scritta bold che ho tolto? ... embè se irresponsabilmente incolli link che potrebbero mettere in pericolo altri te lo scrivo in bold ma nn è un insulto, è perchè è importante e almeno lo vedi.


Come faccio a vedere se qualche file ha un exploit direttamente sul sito?
-------------------------------------------------------------------------------------------------
è questo il problema, per quello che il rimedio sicuro è reinstallare.

Comunque non ho trojan sul pc non sono così sprovveduto...
------------------------------------------------------------------------------------
mmmhhh, per sicurezza fai girare qualche av diverso e magari in modalità provvisoria, solitamente quell'iniezione ne presuppone.

 ne ho due non aggiornate...
--------------------------------------
quali?

M.

[queengab]

Ciao,

...no no anche peggio... scusa ma dov'è che sono stato scortese? ...nella scritta bold che ho tolto? ... embè se irresponsabilmente incolli link che potrebbero mettere in pericolo altri te lo scrivo in bold ma nn è un insulto, è perchè è importante e almeno lo vedi.
-------------------------------------------------------------------------------------------------------
guarda l'ho fatto inconsapevolmente ma volevo condividere con voi eventuali anomalie comuni. Se ho sbagliato perdonami!!!!


è questo il problema, per quello che il rimedio sicuro è reinstallare.
---------------------------------------------------------------------------
per il momento non è possibile....

Queste sono le estensioni su cui ho ancora alcuni dubbi:
Attachments      Abilitato   2.0.2     May 29, 2010      
Joomap       Abilitato    2.06 Beta2    2008-08-16        
PhocaGallery    2.6.2

Avete notizie a riguardo?

Grazie per la vostra disponiblità ...

Ps: Non sei stato scortese però sai in un momento un po' di tensione è un po' difficile rimanere lucidi.. Comuqneu sembra che adesso il sito non ha più problemi...

www.associazioneaim.it se trovi qualcosa mi dci?

Grazie
gabrele 

[mau_develop]

basta che usi il tool malware di google webmaster e ti dice lui se c'è ancora qualcosa di attivo.

M.

[queengab]

Grazie per gli utili consigli...

Google non segnala alcun malware sul mio sito...
In più ho sbracato tutto, rimesso il vecchio sito con le stesse estensioni, reinstallato nuovamente com_attachments e inserito una foto diversa su un articolo... e non sto ricevendo più attacchi.

Quelli dell'hosting mi ha non inserito un php.ini all'interno della root per dare solo al mio sito un comportamento diverso con allow_fopen=0 (disabilitato).

Magari è bastato questo???

Comuqneu ho ricambiato anche i permessi ed installato il modulo di mmeloni.
Per sicurezza ho inoltre eliminato alcuni coponenti base di joomla che non uso...

Grazie a tutti.

Spero di aver risolto.

Almeno personalmente non sono stato attaccato su altri siti che stanon comuqneu sul medesimo hosting.. Mi sa che questo è un periodo difficilotto!

A presto

gabriele