Attacco injection al mio sito

[Soundtek]

Come non detto dopo pochi mesi che ho tenuto la 1.5.26 ho subito un attacco injection. Questa la situazione:

La versione 1.5.26 era nella path principale del sito. Fatto backup di tutto, portato in locale, aggiornato con jUpgrade alla 2.5 e riportato in remoto nella sottocartella /newv/ per dare l'accesso a chi di dovere per la visualizzazione in anteprima dell'aggiornamento. Questo un mesetto fa.

Pochi gioni fa alcuni utenti hanno lamentato un virus nel sito (glielo segnalava il browser), ho contattato l'host che mi ha detto che è stato un attacco injection e di aggiornare i cms il prima possibile. In seguito a quest'attacco ho spostato la 1.5.26 in una sottocartella /oldv/ (poi cancellata) e la 2.5 nella path principale. Il problema sembra sussistere.
Più utenti ricevono problemi dal loro antivirus in alcuni file del template utilizzato (iFreedom) e nella cartella media/system/js. File: mootools-more.js, mootools-core.js, core.js, caption.js. Il mio Nod32 rileva il threat "Js/Kryptik.QU trojan" nel file caption.js.
Il tutto nella versione aggiornata e non appena si accede al sito.

Non riesco neanche a mettere offline il sito perchè dal backend non funzionano più i tasti "Salva" e "Salva e chiudi". Da ftp non mi fa reimportare il file configuration.php con la modifica alla prima riga per mettere offline il sito.

Di seguito il link al topic del forum dove gli utenti hanno postato alcuni screen del problema: Link

Che fare? il mio errore è stato quello di non aggiornare subito alla 2.5 ok ma spero si possa recuperare il danno.

[Npaquito]

Hola

Se il sito é quello della firma vedo che i file:

/media/system/js/mootools-core.js 
 /media/system/js/core.js 
 /media/system/js/caption.js 
 /media/system/js/mootools-more.js 
 /templates/ifreedom-fjt/slideshow/NivooSlider.js 
 /templates/ifreedom-fjt/slideshow/init.js 
 /templates/ifreedom-fjt/modules/jscroll.js 
 
sono stati modificati ed hanno aggiunto un codice malvagio, eliminalo

A me (con Firefox 12 e Chromium 18.0 su ubuntu) le pagine si aprono senza avvertimenti

...il mio errore è stato quello di non aggiornare subito alla 2.5 ok ma spero si possa recuperare il danno.

Te credi che non avrebbero bucato Joomla 2.5? e per che motivo credi che joomla 2.5 è piu sicura che joomla 1.5.26?

Comunque rimane l'importante: come chiuderai la porta di entrata?

[Soundtek]

Te credi che non avrebbero bucato Joomla 2.5? e per che motivo credi che joomla 2.5 è piu sicura che joomla 1.5.26?

Comunque rimane l'importante: come chiuderai la porta di entrata?

Effettivamente se hanno bucato anche la versione 2.5 c'è ben poco da fare.. comunque come trovo il codice malevolo? li paragono con dei file puliti finche non trovo il codice da eliminare?

Per le porte in entrata non ne ho idea

[Npaquito]

Hola

... come trovo il codice malevolo? li paragono con dei file puliti finche non trovo il codice da eliminare?

Buona idea :faccinapolliceinsu:

Per chiudere la porta di entrata altri ne sanno piu di me, ma un'occhiata a permessi di cartelle e file io la darei

[Soundtek]

Questo il codice trovato in tutti i file interessati in fondo:


*******

Tutti eliminati, faccio qualche prove e vi faccio sapere.
Intanto però rimane il problema dei tasti "Salva" e "Salva e chiudi"..

Edit: Rimosso codice malevolo.

[tomtomeight]

Non è mai una buona idea postare del codice malevolo.

[Soundtek]

Chiedo scusa

Sembra che tutto sia tornato alla normalità. Anche i tasti.

Per il chmod come è meglio impostarli? 777? 755? 666? tutti i file e tutte le cartelle o solo alcuni? non ho trovato guide in merito..

[Npaquito]

Hola

Si adesso mi risulta pulito, rispetto ai permessi non c'è una cifra magica dato che puó variare da server a server in base alle impostazioni di ogniuno di essi, ti consiglio di leggere questa guida di Marco Maria su permessi di cartelle e file da qui fare una ricerca su Google