Malware in Joomla

[subcarlos]

Salve a tutti, sono incappato due volte in un malware 1 mese e mezzo fa, che iniettava del codice tra questi tag #c3284d#, in varie pagine dello Joomla (1.5.23). Ero riuscito ad eliminarlo, impostando i permessi 655 ai file principali.
 Proprio oggi un altro malware mi ha iniettato del codice che richiama un iframe, e dalle date di modifica, ho visto che ha avuto accesso all'htaccess ed ha modificato le varie index.php/index.html
 Mi potete dare qualche dritta a riguardo?
 
 Grazie mille!

[mau_develop]

letti gli altri post?

M.

[subcarlos]

Ho letto i topic più in basso, ma non saprei capire da dove proviene la falla. In pratica le scorse volte ho ripulito i file dal codice e poi ho messo i permessi più restrittivi 644 ai file php principali. Potrebbe essere che Joomla non c'entri niente? lo chiedo perchè è presente anche un secondo cms (Xoops) in un altra cartella, ed è stato intaccato anche lui.

[tomtomeight]

La prima falla è relativa alla versione non sicura del tuo cms, aggiornare è la prima difesa, se ci pensavi prima ....

[subcarlos]

Ok, intanto aggiorno. Figurati, in realtà ho preso in mano da poco questo sito con il casino già avvenuto e non avendo i pieni accessi, altrimenti avrei aggiornato da tempo.

[subcarlos]

Premettendo che ho ripulito il sito, aggiornato all'ultima versione possibile (1.5.2.6) e controllato se potessero esserci estensioni vulnerabili, volevo chiedere:
siccome ho visto che non solo Joomla, ma anche un'altra cartella a parte, con dei file html/php ed una di xoops "dismesso" sono stati intaccati, è possibile che la falla non c'entri niente con Joomla, ma sia ad un livello superiore? Oppure tramite il buco di joomla, il malware riesce ad estendersi?

[martino954]

Salve, anche io ho avuto un attacco al mio sito: è stato classificato malevolo da Google.
Ho letto molto e ora lo sto per ripristinare, dopo averlo cancellato. Ma ho alcune domande:
1. io ho cancellato il database, tutti i files e tutte le carte del sito: come faccio a sapere se ora è pulito e posso ricaricare la versione di backup che ho da parte?
2. come si fa ad impostare i permessi di lettura, scrittura etc ai files e alle cartelle? io uso filezilla e questo programma assegna già automaticamente i diritti a file e cartelle, ma li chiama permessi di lettura, scrittura ed esecuzione rispettivamente; è la stessa cosa che dire 777, 755, 644?
3. come si fa a dire a Google di riesaminare il sito in modo da togliere la indicazione "malevolo" se ora è stato ripulito?
Ciao a tutti
Martino

[subcarlos]

Beh se hai cancellato tutto e il backup è pulito puoi ripristinarlo senza problemi, altrimenti scansionalo opportunamente per trovare il codice malevolo.
Per impostare i permessi lettura basta che clicchi col destro sul file/cartella e scegli d'impostare i permessi file. Per il terzo punto, è sufficiente che vai alla sezione strumenti webmaster, con il tuo account gmail e associ il tuo sito. Poi alla sezione salute del sito, inoltri la richiesta di controllo per togliere il messaggio di malware.

[subcarlos]

Ragazzi, scusate. Purtroppo nel sito questa volta è stato nuovamente iniettato codice malevolo.
Ho aggiornato la piattaforma, tutti i componenti ma niente.
Non penso sia dovuto alla password dell'ftp, ha solo modificato i file index....o mi sbaglio?

[Npaquito]

Hola

Secondo me é lo stesso software maligno della prima volta che non é stato "estirpato".

Scarica una copia in locale e cerca il malware file per file
Ripulisci il server (elimina files, cartelle, database, ftp) e creane nuovi

[subcarlos]

Ok, ci provo. Ma potrebbe essere che ha carpito la password? Però ripeto mi sembra strano, modifica solo i file index questa volta

[subcarlos]

Se puo' interessare, mi viene dato questo indirizzo relativo al malware: http://labs.sucuri.net/db/malware/malware-entry-mwiframehd371