Attacchi a siti con joomla3

[Gianni64]

Un saluto a tutto il forum, quella che segue è una mia personale esperienza che voglio condividere con voi, nel caso un qualche vostro sito venga hackerato e vi mettiate a controllare i file manualmente oltre alle procedure automatiche di ricerca di file infetti.

La persona che ha hackerato un mio sito ha avuto un'idea geniale, ma allo stesso tempo stupida, questa persona inseriva in file collegati alla pagina index un codice che controllava se esisteva un certo file e nel caso negativo lo creava richiamando un altro file da altro sito dove appoggiava si vede i ferri del mestiere, direte voi sono cose che si sanno, si vero ma il codice inserito era preceduto da questo:

Plugin Name: Akismet
Plugin URI: http://akismet.com/
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog

from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To

get started: 1) Click the "Activate" link to the left of this description, 2) <a

href="http://akismet.com/get/">Sign up for an Akismet API key[/url], and 3) Go to your Akismet configuration

page, and save your API key.
Version: 3.0.0
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
Text Domain: akismet
*/

/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
*/

in questo modo cercava di camuffare il tutto come se fosse codice normale rilasciato da Akismet
evito d'inserire tutto il codice per ovvi motivi, chiedo a voi nel caso conosciate la mail di Akismet di fornirmela
perché io in giro non ho trovato nulla, vorrei metterli a conoscenza di questo uso improprio.

Altra informazione che vorrei darvi, nel caso non abbiate fatto caso, se cercate stringhe o codici nei file apriteli con notepad++
perché un altro sistema per nascondere i codici malevoli a una visione manuale è quello di inserirli nella LINEA 1 senza mai andare
a capo e distante dal segno di apertura <?php di circa 200/300 spazi, in questo modo se aprite il file per cercare qualcosa non ve ne
accorgete immediatamente in quanto il file vi sembrerà normale.

Mi auguro che questa mia disavventura possa aiutarvi.

[MariaElenaBoschi]

guarda che akismet o no non bucano tutti i siti, solo quelli non aggiornati quindi è un problema che riguarda utenti pigri o con poco interesse verso il proprio sito web

[Gianni64]

guarda che akismet o no non bucano tutti i siti, solo quelli non aggiornati quindi è un problema che riguarda utenti pigri o con poco interesse verso il proprio sito web

Il mio post non era indirizzato a pigri e poco interessati, ma un'informazione per tutti coloro che trovandosi nella mia situazione e poco esperti possono prendere spunto dal post per cercare ed eliminare i file infetti.

Comunque è un'idea, fare una petizione e mettere una legge che VIETI ai pigri e svogliati di aprire siti, cosi ci ritroviamo con meno spazzatura in giro e togliamo un bel po' di lavoro ai cracker, gli hacker sono un'altra cosa.

Grazie per lo spunti MariaElenaBoschi

[conti1]

Comunque è un'idea, fare una petizione e mettere una legge che VIETI ai pigri e svogliati di aprire siti, cosi ci ritroviamo con meno spazzatura in giro e togliamo un bel po' di lavoro ai cracker, gli hacker sono un'altra cosa.

ciao
sarebbe come dire togliamo la patente a tutti gli imbranati

[tomtomeight]

A partire da lui?

[alexred]

Ciao Gianni64,
grazie per aver condiviso la tua analisi e queste informazioni. Molto interessanti e forse potranno essere utili ad altri.
Il numero di siti Joomla infetti è in netto aumento.

[Gianni64]

Ciao Gianni64,
grazie per aver condiviso la tua analisi e queste informazioni. Molto interessanti e forse potranno essere utili ad altri.
Il numero di siti Joomla infetti è in netto aumento.

Grazie Alexred ogni tanto una pacca sulla spalla fa piacere al posto delle solite battute o risposte di default di chi si sente superiore specialmente senza sapere nei particolari come è avvenuto l'attacco.
Nel mio caso sono passati da altro account  ( non mio ) con Word press e da li hanno caricato la Shell preso i privilegi di root e hanno exploidato tutto il server condiviso per una falla su APACHE diventato amministratore il cracker ha infettato qualcosa come 250 account.
Ho salvato molti file con vari script codificati per chi volesse studiarli basta chiedere.

[Gianni64]

ciao
sarebbe come dire togliamo la patente a tutti gli imbranati

Appunto, la mia era una battuta provocatoria...............

[Gianni64]

A partire da lui?

ti riferisci a me?

Vediamo ho la patente da 33 anni, mai fatto un incidente ne con distruzione di autoveicoli ne con decessi, ho fatto guida sicura nel circuito di Varano de Melegari senza contare un paio di guide nell'accademia di polizia a vibo valentia, iscritto da 10 anni nell'albo guidatori professionisti di Parma............... mmmmm no non credo tu ti riferisca a me, forse a tutti quei cretini che usano il cellulare alla guida, fare un sito è come guidare sempre attenti quattro occhi, guardare sempre avanti e anticipare le mosse del veicolo che precede anche se a volte il cretino di turno lo trovi e ti taglia la strada...... si la patente ritiriamola a loro. 

[tomtomeight]

La mi era una provocazione  sulla tua dichiarazione di fare una legge ecc. e intendevo che le leggi le devono rispettare a partire da chi le propone, visto che per tua ammissione ci rientravi. 
 
La patente di guida non c'entra.

[enzoman]

Ciao,
scusatemi, siccome non sono esperto, come si fa a verificare se il mio sito è stato attaccato? C'è una procedura che posso seguire?
Ci sono anche degli accorgimenti che potrei prendere, oltre all'aggiornamento delle estensioni e di Joomla, che potrebbero ridurre il rischio di attacchi?

[Alex21]

akismet.com  : Akismet is an advanced hosted anti-spam service
Sembra una presa per i fondelli.
Grazie per le informazioni, Gianni64. Personalmente dubito che sia possibile essere immuni da una intrusione hacker.
D'altronde internet è così. Facciamo buon viso a cattivo gioco.
Ciao!