Back to top

rss feed
« precedente successivo »
Pagine: [1]   Vai giù

Autore Topic: problema con {HEX}php.base64.v23au.184  (Letto 1645 volte)

Offline mikysal78

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
problema con {HEX}php.base64.v23au.184
« il: 17 Ott 2016, 00:10:56 »
Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184

Mi ritrovo almeno con un paio di file al giorno.
Ultima versione di Joomla e K2

ho anche customizzato il php.ini
Codice: [Seleziona]

register_globals=off
safe_mode=off
allow_url_fopen=off
display_errors=off
session.save_path='/tmp'
extension=pdo.so
extension=pdo_mysql.so
disable_functions="exec,passthru,shell_exec,system,proc_open,curl_multi_exec,show_source,phpinfo,popen,phpinfo,mail"
file_uploads = On
post_max_size = 200M
upload_max_filesize = 200M

avete soluzioni?
Grazie
« Ultima modifica: 17 Ott 2016, 00:24:08 da mikysal78 »
Connesso

Offline ste

  • Instancabile
  • ******
  • Post: 8774
  • Sesso: Femmina
    • Mostra profilo
Re:problema con {HEX}php.base64.v23au.184
« Risposta #1 il: 17 Ott 2016, 10:41:54 »
Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
Connesso
TTI - Team Traduzione Italiano di Joomla.it - Guide su Joomla

Offline mikysal78

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
Re:problema con {HEX}php.base64.v23au.184
« Risposta #2 il: 17 Ott 2016, 19:37:26 »
Citazione da: ste - 17 Ott 2016, 10:41:54
Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
Grazie Ste per la risposta.
Cmq non uso FTP ma solo SFTP e non c'è nessun account FTP creato.
Le credenziali le ho cabiate più di qualche volta.
Ho fatto più volte il test con scuri ed è sempre verde tranne per la mancanza del loro firewall.
CentoraSecurity mi riporta 0 vulnerabilità
SecurityCheck mi da questo log (allego l'immagine).

Adesso sto eseguendo un test con joomscan, se è il caso posso allegare anche il file txt di output.

Altri consigli?

Grazie mille.
Connesso

Offline Alex21

  • Appassionato
  • ***
  • Post: 645
    • Mostra profilo
Re:problema con {HEX}php.base64.v23au.184
« Risposta #3 il: 17 Ott 2016, 20:01:22 »
Citazione da: mikysal78 - 17 Ott 2016, 00:10:56
Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184

ho anche customizzato il php.ini

avete soluzioni?
Grazie
File criptati base64 trovati: Sì.
Che inviano spam a tavoletta per fortuna no.
{HEX}php.base64.v23au.184  è ancora uno sconosciuto per me.

Ma, senti, hai decodificato base64 il codice malevolo che hai trovato per capire cosa fa? Probabilmente è quello che fa gli invii.
E .htaccess è ancora quello di joomla oppure è stato cambiato?
Dopo aver modificato le credenziali bisognerebbe anche cancellarlo, il codice iniettato.
Php ini  customizzato. Non penso serva a molto perché la funzione più micidiale,  eval() non è eliminabile in quanto fa parte del core del php.
Ciao!
Connesso
Pagine: [1]   Vai su
« precedente successivo »
 



Web Design Bolzano Kreatif


Copyleft: Tutto il materiale pubblicato o comunque presente all'interno del sito www.joomla.it
può essere utilizzato, diffuso e modificato liberamente.
Hosting fornito gratuitamente da Joomlahost.it
Disegno web da kreatif multimedia srl