Attacco hacker?? index.html

[die84albe]

ciao a tutti!
come da titolo stamattina mi sono accorto di un sito j1.7.2irraggiungibile e ho trovato in qualsiasi file html questo righe di comando

<script>try{document.asd.removeChild({})}
Edited:eliminato codice malevolo

Help!
qualcuno ha riscontrato stesso errore/attacco?

[die84albe]

aggiungo info:

utilizzando firebug, compaiono queste nuove righe a fondo pagina:

Edited:eliminato codice malevolo

retunger.com?

[die84albe]

aggiungo info:

il tutto sembra partire dal file jblibrary.php

dove compaiono le seguenti righe:

    $body = str_replace ("
Edited:eliminato codice malevolo

[die84albe]

le righe malevoli una volta cancellate e dopo aver ricaricato tuto ftp compiono nuovamento dopo pochi minuit.... sticxxx 

[die84albe]

Dopo aver eliminato tutte le righe interessate ....sembra tutto apposto .. invece dopo 10 min:

www/libraries/joomla/application/application.php on line 326

   
       Edited:eliminato codice malevolo {

con nuovi index.html infetti!!!




help!!!!!!

[die84albe]

Di che tipo di attacco si tratta, da dove caspita entra sto schif!?
 

[seba94ct]

se non fai un post ogni 20 secondi forse rispondono... 

[Mist3r]

Non è un'attacco rivolto a te...

Codice: [Seleziona]

http://akbc.retunger.com/count7.php ha ospitato 1 exploit ed è attualmente diffidato da google, in qualche modo tu o un tuo visitatore deve essere entrato in contatto con questo dominio.

[die84albe]

scusa seba,  volevo tenervi aggiornati !

Grazie dell'informazione Mist3r, considerando che io non sono stato in contatto con il dominio in questione, e il sito in questione non ha utenti ma al massimo visitatori come sottolini tu, come cavolo ha ridotto così il sito, o meglio ancora come diavolo me ne libero?
attualmente il sito è offline ed ho cancellato tutti i file sul web, puo essere coinvolto anche il database?

Ciao e grazie

[Mist3r]

A giudicare da quello che si vede, il db potrebbe essere integro, ma la maggior parte degli exploit colpiscono prima quello...

[die84albe]

suggerimenti?

[maicolstaip]

Ciao die84albe,
ho dovuto eliminare il codice malevolo dai tuoi post perchè è pericoloso lasciarlo lì.

Sposto il tuo messaggio nella sezione sicurezza, ti consiglio di leggere i post in evidenza in quella sezione che spiegano cosa fare in un caso come il tuo.

Essenzialmente, pe essere sicuro, dovresti spianare tutto e ricominciare da zero. 

[die84albe]

Scusami maicolstaip non volevo mettere a rischio il forum! 
Vi aggiorno sullo stato delle cose...
ieri sera ho effettuato un backup del sito "malato" e relativo db
ho spianato server e database e lasciato riposare tutta notte    , nel frattempo ho esaminato i file corrotti ,  ed esaminato il db.... che sembra essere intatto "sembra"
dopodichè stamattina ho ricaricato il tutto, ora sono passate 6 ore e sembra tutto ok..... "sembra" 
Mi sarebbe piaciuto capirne di più sul tipo di attacco, dal momento che è avvenuto su una versione di j direi piu che aggiornata (1.7.2) e non avendo estensioni installate, la cosa preoccupa molto.

PS un VaFFFFF****************oOoO! e quei bbk che hanno perso tempo per rompere i..... al sottoscritto e avermi fatto perdere una sera davanti al pc..... bastardi.

[mau_develop]

ma l'hai letto il post in testa a qs sezione?
perchè scaricare i files ed esaminarli quando puoi mettere quelli nuovi presi da un pacchetto originale?
Sei sicuro di non essere tu la causa dell'infezione?
La 1.7.2 vulnerabile direi che è l'ultima cosa a cui penserei (senza escluderlo)

M.