sito malevolo:sostituito index.php

[caps]

Buongiorno,
 anche oggi alcune ore "buttate" per sistemare un attacco ... buttate per modo di dire ... si impara sempre qualche cosa o almeno cerco 
quindi dopo la segnalazione che il sito è malevolo secondo google vado a controllare in ftp e vedo che la data di modifica di index.php in root è strana, scarico il file e dentro ci trovo solo
***** (non ci dovrebbero essere più problemi, la pagina è stata rimossa, almeno credo)
Hanno eliminato tutto il codice joomla ... va be ricarico la index.php di j2.5.6 e il sito riprende a funzionare (con linux e ignorando google) front e back
scarico tutto il sito in locale e confronto i file con un backup ... nessun file a parte index.php
scarico il bd e confronto, nulla
ma in root trovo un file temp.php di 64.6KB ... se qualcuno è interessato lo posso inviare, in winzoz viene segnalato come virus, inizia così
*******
 io non ci capisco molto ma mi piacerebbe saperne qualche cosa in più 


chissà a cosa servono i backup!


p.s. ora aggiorno alla 2.5.7 



agg.: aggiornato alla 2.5.7 !
edited by tt8: mai postare link e codice malevolo, l'ho rimosso.

[mau_develop]

chissà a cosa servono i backup!
---------------------------------------------
lasciati su un server nulla, così come non è una sicurezza lasciare la chiave di casa sotto lo zerbino

ma nel post in testa alla sez c'è scritto.

M.

[caps]

si, scusa, lo avevo inserito per incuriosire di più gli smanettoni 


ma quel

Codice: [Seleziona]

$auth_pass = "63....a cosa può riferirsi?

[mau_develop]

...avrai trovato una shell..

M.

[caps]

solita risposta dell'hosting "colpa di joomla o di qualche plugin aggiuntivo" ... con in più effettuare un backup e fare un'installazione fresca di joomla   


danno anche un link  http://docs.joomla.org/Category:Security_Checklist


mai che diano subito un report di accessi o altro "strani" ...


da curioso trovo un file data.bin (di 103 byte e vecchio di alcuni mesi) con un ip strano che chiama una api.php?action= ...  allo stesso livello della cartella www (www contiene joomla) dove ho accesso solo in lettura ... chissà chi lo ha messo ...


altra cosa, in administrator/components/com_admin/sql/updates/mysql/ trovo molti file .sql (ho verificato, ci sono già nel pacchetto en full e ita) si possono eliminare?

[mau_develop]

hai controllato se con la check list sei a posto?
M

[caps]

hai controllato se con la check list sei a posto?
M

lo sto facendo, con calma in verità ... mal che vada ho sempre il backup!

[mau_develop]

il problema è che quella lista non è ne più ne meno delle solite raccomandazioni che si fanno con joomla.
Farlo a posteriori di una compromissione non serve a molto, farlo prima serve proprio a dire all'hoster di fumare di meno e di guardare i log del suo server... non avevdo questa certezza difficile sostenere ragioni.
E' vero che potrebbe guardare ugualmente i log e magari lo avrà fatto ma a che scopo informarti della sua niubbaggine?

M.

[caps]

hai perfettamente ragione ... farlo adesso posso scoprire qualche cosa di interessante (nella mia installazione) ma anche non scoprire delle vulnerabilità dell'hoster perchè le ha appena sistemate dopo la segnalazione !
----------------------------------------
E' vero che potrebbe guardare ugualmente i log e magari lo avrà fatto ma a che scopo informarti della sua niubbaggine?
----------------------------------------
sicuramente lo hanno fatto, conosco personalmente alcuni tecnici con cui posso parlare e passare a trovare per un caffè (ho anche procurato clienti per loro...) e alcune volte accenno a qualche problema e loro cadono dalle nuvole, si informano e provvedono ...   chiaramente sono degli esseri umani e non possono sapere tutto di tutto (come me d'altronde)


interessante l'FPA, non si finisce mai di imparare ...


per la lista ... sto sorvolando parecchi punti ...


per il discorso dei file strani .sql ? (vedi un paio di post indietro)