Back to top

Autore Topic: Attacco hacker?? index.html  (Letto 4611 volte)

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Attacco hacker?? index.html
« il: 25 Ott 2011, 16:11:55 »
ciao a tutti!
come da titolo stamattina mi sono accorto di un sito j1.7.2irraggiungibile e ho trovato in qualsiasi file html questo righe di comando

Citazione
<script>try{document.asd.removeChild({})}
Edited:eliminato codice malevolo


Help!
qualcuno ha riscontrato stesso errore/attacco?
« Ultima modifica: 26 Ott 2011, 10:59:14 da maicolstaip »
Quel che non strozza ingrassa!

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #1 il: 25 Ott 2011, 16:16:17 »
aggiungo info:

utilizzando firebug, compaiono queste nuove righe a fondo pagina:
Citazione
Edited:eliminato codice malevolo

retunger.com? ???
« Ultima modifica: 26 Ott 2011, 10:59:35 da maicolstaip »
Quel che non strozza ingrassa!

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #2 il: 25 Ott 2011, 17:08:45 »
aggiungo info:

il tutto sembra partire dal file jblibrary.php

dove compaiono le seguenti righe:

Citazione
    $body = str_replace ("
Edited:eliminato codice malevolo
« Ultima modifica: 26 Ott 2011, 10:59:56 da maicolstaip »
Quel che non strozza ingrassa!

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #3 il: 25 Ott 2011, 17:10:43 »
le righe malevoli una volta cancellate e dopo aver ricaricato tuto ftp compiono nuovamento dopo pochi minuit.... sticxxx  >:( >:(
Quel che non strozza ingrassa!

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #4 il: 25 Ott 2011, 18:21:53 »
Dopo aver eliminato tutte le righe interessate ....sembra tutto apposto .. invece dopo 10 min:

www/libraries/joomla/application/application.php on line 326


Citazione
   
       Edited:eliminato codice malevolo {

con nuovi index.html infetti!!!




help!!!!!!
« Ultima modifica: 26 Ott 2011, 11:00:25 da maicolstaip »
Quel che non strozza ingrassa!

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #5 il: 25 Ott 2011, 18:27:38 »
Di che tipo di attacco si tratta, da dove caspita entra sto schif!?
 :o
Quel che non strozza ingrassa!

Offline seba94ct

  • Appassionato
  • ***
  • Post: 307
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #6 il: 25 Ott 2011, 20:17:48 »
se non fai un post ogni 20 secondi forse rispondono...  :)
Thonet. Quando il mobile è di classe.

Offline Mist3r

  • Esploratore
  • **
  • Post: 72
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #7 il: 25 Ott 2011, 20:53:36 »
Non è un'attacco rivolto a te...
Codice: [Seleziona]
http://akbc.retunger.com/count7.php ha ospitato 1 exploit ed è attualmente diffidato da google, in qualche modo tu o un tuo visitatore deve essere entrato in contatto con questo dominio.

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #8 il: 25 Ott 2011, 22:22:21 »
scusa seba,  ::) volevo tenervi aggiornati ! :)

Grazie dell'informazione Mist3r, considerando che io non sono stato in contatto con il dominio in questione, e il sito in questione non ha utenti ma al massimo visitatori come sottolini tu, come cavolo ha ridotto così il sito, o meglio ancora come diavolo me ne libero?
attualmente il sito è offline ed ho cancellato tutti i file sul web, puo essere coinvolto anche il database?

Ciao e grazie
Quel che non strozza ingrassa!

Offline Mist3r

  • Esploratore
  • **
  • Post: 72
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #9 il: 25 Ott 2011, 22:28:43 »
A giudicare da quello che si vede, il db potrebbe essere integro, ma la maggior parte degli exploit colpiscono prima quello...

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #10 il: 25 Ott 2011, 22:37:19 »
suggerimenti?
Quel che non strozza ingrassa!

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #11 il: 26 Ott 2011, 11:02:37 »
Ciao die84albe,
ho dovuto eliminare il codice malevolo dai tuoi post perchè è pericoloso lasciarlo lì.

Sposto il tuo messaggio nella sezione sicurezza, ti consiglio di leggere i post in evidenza in quella sezione che spiegano cosa fare in un caso come il tuo.

Essenzialmente, pe essere sicuro, dovresti spianare tutto e ricominciare da zero.  ;)
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline die84albe

  • Esploratore
  • **
  • Post: 114
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco hacker?? index.html
« Risposta #12 il: 26 Ott 2011, 12:25:16 »
Scusami maicolstaip non volevo mettere a rischio il forum!  ???
Vi aggiorno sullo stato delle cose...
ieri sera ho effettuato un backup del sito "malato" e relativo db
ho spianato server e database e lasciato riposare tutta notte   ::) , nel frattempo ho esaminato i file corrotti ,  ed esaminato il db.... che sembra essere intatto "sembra"
dopodichè stamattina ho ricaricato il tutto, ora sono passate 6 ore e sembra tutto ok..... "sembra"  :o
Mi sarebbe piaciuto capirne di più sul tipo di attacco, dal momento che è avvenuto su una versione di j direi piu che aggiornata (1.7.2) e non avendo estensioni installate, la cosa preoccupa molto.

PS un VaFFFFF****************oOoO! e quei bbk che hanno perso tempo per rompere i..... al sottoscritto e avermi fatto perdere una sera davanti al pc..... bastardi.
Quel che non strozza ingrassa!

mau_develop

  • Visitatore
Re:Attacco hacker?? index.html
« Risposta #13 il: 26 Ott 2011, 13:26:40 »
ma l'hai letto il post in testa a qs sezione?
perchè scaricare i files ed esaminarli quando puoi mettere quelli nuovi presi da un pacchetto originale?
Sei sicuro di non essere tu la causa dell'infezione?
La 1.7.2 vulnerabile direi che è l'ultima cosa a cui penserei (senza escluderlo)

M.

 



Web Design Bolzano Kreatif