Gestisco due siti gemelli, come struttura, per componenti e files, ma con url e contenuti differenti
Descrivo il problema:
Un utente ha contattato il sito dicendo che dalla mail di conferma della registrazione (Componente Community Builder).
Per risolvere il problema mi metto a spulciare tra i file,
a) trovo una cartella includes nella roth del sito che ha avuto il problema con dentro un file confi.php al cui interno è presente un link ad un sito russo con una serie di link che caricano l'interfaccia del mio sito con contenuti di fantasia negli articoli
b) peggiore trovo in entrambi i siti un file dentro la cartella components che si chiama o.php dentro ci sono una user e una password, una serie di messaggi tipo "// "Deface Page" Base64 encoded "You Just Got Hacked !!" e tanto codice php, carico il file da browser e mi trovo in una pagina con login, inserisco user e password e approdo in un'interfaccia web tipo applicazione ftp che può caricare, scaricare e cancellare i file presenti nella cartella components, praticamente hanno il sito in mano.
Sto provvedendo a effettuare i backups di tutto, files e database
quindi cambierò tutte le user e le password, sospenderò le estensioni, e chiederò di cambiare credenziali db e ftp al provider, oltre a cancellare i file sospetti, basterà?
Ma la domanda che sono venuto qui a fare è sopratutto, come è successo? a qualcuno è già capitato?
Da parecchio tempo non installo estensioni su entrambi i siti, o meglio, non ho installato la stessa estensione su entrambi i siti, ma ho fatto gli aggiornamenti di rito.
Si tratta di un attacco mirato oppure dipende da qualche estensione inquinata?
Joomla è la 2.5.9 e gira con php mod apache (sigh)
Grazie a tutti per ogni eventuale aiuto
