accedendo al sito da google vengo reindirizzato su un sito segnalato malevolo

[mmleoni]

calma, conoscete il principio "Occam's razor"? (lasciate da parte le interpretazioni da telefilm...)

mandami un link, via PM, al file di log del giorno in cui SICURAMENTE è avvenuto l'hack, e vediamo in che è successo.

immagino che anche maurizio sia curioso

ps: l'hack, quando riesce, non genera errori

ciao,
marco

[mau_develop]

GET /foto/ultime-aggiunte.html?func=detail&id=1499

questa è appunto una normale richiesta get, ma può anche essere post (nel qual caso nn ricordo come e se logga)

siccome deve essere iniettata una var troverai cose strane dove c'è = a qualcosa

func=possibile_riga_iniezione&id=possibile_riga_iniezione

Veramente strano che tu nn abbia nulla sul pc, come ti dicevo, da quella scansione su anubis risultavano molte cose manipolate su un browser..

Disinstallare non so se serva qualcosa... non sono molto pratico di windows

M.


si scusa... ho cliccato perchè ormai avevo scritto ma segui Marco che sei in buone mani anche se dubito ci sia qualcosa nei log se è il tipo di attacco che ti ho segnalato, quando è successo a me ...nessun log

cmq si sono sempre curioso ...

[marcothemix]

manu_develop,
mi sono espresso male, l'antivirus ha torvato:
numero di infiltrazioni : 226
si torvano tutte in c:\user\marco\AppData\roaming\m
mi dice che sono tutti: win32/bagle. Un worm - era un worm parte di un ogetto eliminato

nel post di prima mi rallegravo dato che per fortuna per fare l'attacco broswer in the middle sfruttando il facebook connect, c'è bisogno che si instalalto un trojan sul pc di chi ha accesso provilegiato al sito, quindi difenendo al massimo il mio pc, l'estensione facebook connect non dovrebbe essere pericolosa, o ho capito male?

marco ti ho inviato via pm il link allo zip del file di log davvero tante grazie per la disponibilità ad aiutarmi a spulciarlo.

E grazie mille a tutti e due per l'enorme aiuto che mi state donando, sono anche io molto curioso di sapere come sono entrati.

[mmleoni]

ovviamente senza avere accesso alla macchina è difficile capire che sia successo, ma nel log vi è qualcosa che non quadra:

67.91.190.165 - - [25/Sep/2010:07:34:45 +0200] "POST /includes/post.php HTTP/1.1" 200 2015 "none" ""

questo file non è di joomla... possibile, ma improbabile, felice di sbagliarmi, che sia stato installato da qualche estensione... me lo mandi?

ciao,
marco

ps: la caccia all'hacker è un lavoro lungo... 

ps2: è lungo... questo è solo un colpo d'occhio...

[mau_develop]

quello dovrebbe essere uno...

67.91.190.165

OrgName:        XO Communications
OrgId:          XOXO
Address:        13865 Sunrise Valley Drive
City:           Herdon
StateProv:      VA
PostalCode:     20171
Country:        US
RegDate:       
Updated:        2008-01-14
Ref:            http://whois.arin.net/rest/org/XOXO

ReferralServer: rwhois://rwhois.eng.xo.com:4321/

M.

[marcothemix]

Wow davvero complimenti  sei riuscito a trovare l'ago nel pagliaio!

la caccia all'hacker è un lavoro lungo...

bè però direi soddisfacente, se fossi riuscito a torvare io quella linea di codice sarei stato felice per na settimana XD

67.91.190.165

OrgName:        XO Communications

l'hacker dunque si trova negli stati uniti ed utilizza la XO come providers

Comment:        Please report spam and viruses to abuse@xo.net
fonte http://whois.domaintools.com/67.91.190.165

Posso mica chiedere alla xò di mandarmi i log di attività di quell'utente verso il mio sito, così viene a galla come ha fatto?

Grazie mille ancora!

[mmleoni]

one shot, one kill! 

Codice: [Seleziona]

<?php
eval (base64_decode([color=red]XXXcensured![/color]));
?>

e questo è il nostro cavallo di troia: ecco da dove sono entrati.

è quasi scontato che ce ne siano altri, segui la procedura che ti avevo inviato per PM.

ciao,
marco

[marcothemix]

controllando da dei backup quel file è presente già da luglio!
Chissà perchè ce lo avevano messo senza mai usarlo.

Thank you 

[Blasco]

Salve, credo di avere il medesimo problema che avete trattato in questo topic.

il mio sito www.dolphinstuningclub.it l'ho sempre tenuto aggiornato man mano che sono state pubblicate le varie versioni di joomla, ma mi ritrovo ugualmente con questo problema.

Ho provato diversi dei vostri consigli, ma ancora non riesco a trovare una soluzione ed accedendo al sito da google vengo reindirizzato altrove, ovviamente, scrivendo direttamente l'indirizzo nella barra tutto sembra ok.

Ho fatto la scansione con Anubi, ma non sono in grado di interpretare come si deve i dati di log.

C'è qualcuno che riesce a darmi una mano? Nel caso ditemi di quali dati avete bisogno.

Grazie in anticipo per la disponibilità.


Valentino

[marcothemix]

Ho provato ad accedervi tranite google ma visualizza correttamente il sito.

Comunque non basta tenere aggiornato joomla ma anche tutte le sue estenzioni.

[56francesco]

ed accedendo al sito da google vengo reindirizzato altrove
Valentino

ad esempio dove?  ci mandi il link della pagina dove arriveresti?

[campobass]

Salve sono il prof. Gianni anch'io ho avuto lo stesso problema e ho ripulito tutto il codice. Ma la mia domanda è come posso prevenire gli attacchi? Dal file di log pare che l'attacco sql injection sia stato fatto su joomlapack 2.1 b1. Qualcuno sà aiutarmi?

[56francesco]

Ma la mia domanda è come posso prevenire gli attacchi?

io eviterei in partenza una gara a chi tiene il kungfu più tosto..
fai le copie del sito e conservarle in luogo sicuro e se sei su un server condiviso avvisa sempre l'assistenza hosting dell'accaduto, ti risponderanno sempre che non c'entrano niente loro ma avvisali lo stesso.

[mau_develop]

http://forum.joomla.it/index.php/topic,117151.0.html

M.