Minacciati i siti Joomla 1.5? cos'è il file album5.class.php?

[il gatto ha nuove code]

Salve,

Mi hanno segnalato che sulla pagina facebook di un noto fornitore di hosting stanno avvisando gli utenti che i siti fatti in Joomla 1.5 potrebbero essere sospesi.

Su quasi tutti i nodi era in esecuzione un ddos verso bankofamerica (171.159.228.173). Tutti i siti da cui partiva l'attacco hanno joomla 1.5 e all'interno avevano il file album5.class.php con codice criptato. Stiamo bonificando i nodi e in via cautelativa potremo anche sospendere tutti i siti non aggiornati.

Nonostante il problema non mi riguardi direttamente mi piacerebbe saperne di più.

[alexred]

ciao il gatto ha nuove code,
sembra che su quel fornitore di hosting molti utenti (come spesso accade) non mantengano aggiornate all'ultima versione stabile le proprie installazioni di Joomla 1.5 e questo ha permesso un attacco massiccio, un ddos verso bankofamerica

Non possiamo far altro che ricordare e ricordare ancora di aggiornare sempre la versione di Joomla e delle estensioni installate.

[DiremaWeb]

io ho diversi siti 1.5.25 sull'hosting in questione, ma attualmente alcuni mi danno ritardi di connessione oppure impossibilità di navigazione. esiste un programmino per scansionare i siti e trovare il famoso file 

album5.class.php ?!?

[Razzo]

Su facebook: http://goo.gl/uJYk8

cercando su google il nome del file appare in:
 http://pablopaparazzo.com/site/wp-content/themes/eVid/cache/album5.class.php
 http://www.duncanmaund.com/exmoorcomputers/wp-content/plugins/dukapress/temp/album5.class.php
 
 ma entrambi i siti sono fatti con WP...
 qualcuno ha trovato il file sul suo server?

Su facebook un utente dice:

Ciao ragazzi, io qui su T_pH_st non ho siti con joomla, ma ne ho un paio su ar_ba;  la versione di default di Joomla che mette a disposizione ar_ba è la 1.5.22....  e leggendo la email di alert inviata da T_pHo_st, ho subito fatto una verifica, sul server ed ho trovato nella root due file sospetti: il primo è quello già segnalato da T_pH_st e cioè: "album5.class.php" e il secondo è "album5.class" che sicuramente sarà collegato al primo essendo un file java....!!!

[Daniele Pinna]

Scusate se vado OT...
ma www.joomla.it risponde con un

Database Error: Unable to connect to the database:Could not connect to MySQL

Avete qualche problema al Database?

[maicolstaip]

Ciao Daniele,
è stato già segnalato e sono al lavoro per ripristinare.
Ciao!

[Federicoami]

su alcuni siti miei ho la 1.5.23 ma non riesco ad accedere alla sezione download del sito di joomla.it per poter scaricare il pacchetto di update verso la 1.5.25...

[DiremaWeb]

alcuni miei erano .23 e li ho aggiornati alla 25.
adesso va tutto a meraviglia. saluti

[tomtomeight]

Il sito joomla.it è andato in sovraccarico per l'impellente esigenza di aggiornare tutti insieme i siti per il problema in oggetto.

[Federicoami]

alcuni miei erano .23 e li ho aggiornati alla 25.
adesso va tutto a meraviglia. saluti

mi potresti gentilmente mandare il file di update dalla 23 alla 25?

[Daniele Pinna]

Io ho scaricato (da joomla.it) a dicembre il file che porta una qualunque 1.5.x alla 1.5.25

E' un file di 4Mb...

Nel caso posso metterlo a disposizione io...


edit:
dato che il sito joomla.it è tornato on-line, rimuovo il link

[Elwood]

Ragazzi da quest'esperienza, imparate a tenere sempre la versione di joomla aggiornata. Idem con i componenti di terze parti

El

[tomtomeight]

Tenete presente che l'aggiornamento serve a prevenire non a curare, adesso non mi pare il momento di avere tutta questa fretta, la frittata è fatta e se vi si sono rotte le uova non è aggiornando che risolvete, se avete il sito ancora intatto, come mi auguro, con calma appena il sito joomla.it ritorna disponibile fate l'aggiornamento (mi raccomando non tutti insieme) e non solo del core, guardate anche le estensioni. 

[simbus82]

Tra l'altro la situazione aggiornata o meno non centra un bel niente con gli attacchi in questione.

La colpa come... LOL... spesso è successo sembra essere delle scarse policy del l'hosting in questione.

Stranamente l'attacco arriva solo da loro... dimostrano la loro ridicolaggine sistematicamente ogni TOT mesi, e stavolta affibbiano la colpa a Joomla....

Se joomla 1.5.2x fosse "aperto" il DDoS sarebbe partito anche da altri HOSTING.

Inoltre evidentemente c'è qualche sito nell'hosting da cui parte tutto, probabilmente è un componente infetto di qualcuno che, essendo gente che cerca solo il risparmio visto l'hosting, magari scarica i componenti nei siti warez

RIDICOLI.


PS: pure su joomla.org ... la pensano come me
http://forum.joomla.org/viewtopic.php?p=2717232#p2717232

[Federicoami]

Io ho scaricato (da joomla.it) a dicembre il file che porta una qualunque 1.5.x alla 1.5.25

E' un file di 4Mb...

Nel caso posso metterlo a disposizione io...


edit:
dato che il sito joomla.it è tornato on-line, rimuovo il link

ma tutti e 2400 files devo uppare sovrascrivendo tutti quelli precedenti?
le altre patch di upgrade erano molto più leggere e di pochi files...
Ho ovviamente fatto un backup e messo il sito offline

[mau_develop]

Tra l'altro la situazione aggiornata o meno non centra un bel niente con gli attacchi in questione.

La colpa come... LOL... spesso è successo sembra essere delle scarse policy del l'hosting in questione.

Stranamente l'attacco arriva solo da loro... dimostrano la loro ridicolaggine sistematicamente ogni TOT mesi, e stavolta affibbiano la colpa a Joomla....

Se joomla 1.5.2x fosse "aperto" il DDoS sarebbe partito anche da altri HOSTING.

Inoltre evidentemente c'è qualche sito nell'hosting da cui parte tutto, probabilmente è un componente infetto di qualcuno che, essendo gente che cerca solo il risparmio visto l'hosting, magari scarica i componenti nei siti warez

RIDICOLI.


PS: pure su joomla.org ... la pensano come me
http://forum.joomla.org/viewtopic.php?p=2717232#p2717232

... anch'io la penso come te

M.

@federicoami:
guarda che se i file malevoli non sono files di joomla, sovrascrivendo rimangono.

[caravaggio69a]

Tra l'altro la situazione aggiornata o meno non centra un bel niente con gli attacchi in questione.

La colpa come... LOL... spesso è successo sembra essere delle scarse policy del l'hosting in questione.

Stranamente l'attacco arriva solo da loro... dimostrano la loro ridicolaggine sistematicamente ogni TOT mesi, e stavolta affibbiano la colpa a Joomla....

Se joomla 1.5.2x fosse "aperto" il DDoS sarebbe partito anche da altri HOSTING.

Inoltre evidentemente c'è qualche sito nell'hosting da cui parte tutto, probabilmente è un componente infetto di qualcuno che, essendo gente che cerca solo il risparmio visto l'hosting, magari scarica i componenti nei siti warez

RIDICOLI.

..Personalmente ho 4 siti su quell'host e visto che sono fatti in via amatoriale, molto amatoriale, il prezzo che ho trovato mi andava bene.
 

[Daniele Pinna]

ma tutti e 2400 files devo uppare sovrascrivendo tutti quelli precedenti?
le altre patch di upgrade erano molto più leggere e di pochi files...
Ho ovviamente fatto un backup e messo il sito offline

Si... io quando ho aggiornato ho fatto così...

In effetti è un po uno "spreco"... ma evidentemente permette di togliere parecchie versioni...
Per dire, prima trovavi i file per aggiornare:
- dalla 1.5.0 alla 1.5.25
- dalla 1.5.1 alla 1.5.25
 - dalla 1.5.2 alla 1.5.25
 - dalla 1.5.3 alla 1.5.25

etc.
Ora trovi solo 2 file
- dalla 1.5.24 alla 1.5.25  (cioè dalla penultima)
- dalla 1.5.x alla 1.5.25 (da una qualsiasi se non sei stato "attento" ad aggiornare prima).


 
 

[osys.it]

Salve ragazzi, sto dando un occhiata al problema in oggetto e volevo sapere dove dovrei cercare il famigerato album5.class.php, vorrei evitare di cercarlo ovunque in ogni installalazione di Joomla! (magari c'è a disposizione qualche tool per automatizzare questo processo?)

Grazie in anticipo

[sitiweb-italia]

certo che la procedura più veloce è scaricare il sito sul desktop e scansionare con un antivirus, o qualsiasi programma editor alla ricerca del file incriminato. Io uso expression web ed ha la funzione cerca file....anche perchè l'aggiornamento non risolve il problema.

se lo trovate, andate sul server alla stessa posizione in remoto ed eliminate