Aiutatemi sito hakerato, è una cosa che già conoscete?

[mastabrail]

Ciao a tutti, in pratica stasera stavo controllando il mio sito, quando andando in una voce del menù mi si apre una pagina dove vedo tutta la root del sito con tanto di permessi delle cartelle, varie caselle dove fare upload di file, e tanta altra roba ancora.
Non so se si tratta di quella falla scoperta da poco... io ho la versione 1.5.2

Se qualcuno può darmi qualche consiglio ne sarei lieto.

Non so se questo può dirvi qualcosa...si trova nell'intestazione della pagina:

!C99Shell v. 1.0 pre-release build #16!

Queste sono alcune delle cose invece che ho trovato nella pagina in questione:

:: Command execute ::
Enter:
 
   
Select:
 

:: Shadow's tricks ::
Useful Commands
 
Warning. Kernel may be alerted using higher levels
   
Kernel Info:

:: Preddy's tricks ::
Php Safe-Mode Bypass (Read Files)

File:

eg: /etc/passwd

   
Php Safe-Mode Bypass (List Directories):

Dir:

eg: /etc/

:: Search ::
  - regexp

   
:: Upload ::
 
[ ok ]

:: Make Dir ::
 
[ ok ]
   
:: Make File ::
 
[ ok ]

:: Go Dir ::
 
   
:: Go File ::
 

--[ c99shell v. 1.0 pre-release build #16 Modded by Shadow & Preddy | RootShell Security Group | Generation time: 0.7344 ]--

Fatal error: Call to a member function on a non-object in /web/htdocs/www.ozer.it/home/plugins/system/jfdatabase/jfdatabase_inherit.php on line 368

[Locu]

Ciao,
meglio che cancelli immediatamente quel file, è una shell. Quel file permette l'accesso totale al tuo sito e/o server. Probabilmente ti avranno già preso anche il file configuration.php del joomla quindi meglio se cambi tutte le passwords dell' ftp, dominio e database, ma prima aggiorna il joomla alla versione 1.57 altrimenti la falla resta,controlla che non ci siano altre shell in giro per le varie cartelle, ti consiglio di scaricare tutto il sito sul tuo pc ed eseguire uno scan online con vari antivirus, la shell c99 dovrebbe essere rilevata ovunque sia.

Qui trovi alcuni av scanner free:

http://www.kaspersky.com/virusscanner

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

RICORDATI DI AGGIORNARE JOOMLA E DI CAMBIARTE TUTTE LE PASSWORD.
Se non puoi farlo da te meglio che metti il sito in down finchè non hai le nuove psw.

[mastabrail]

Ti ringrazio sei stato gentilissimo. Ho provveduto a cambiare tutte le password sia dell'ftp che del database.
Una curiosità, ma gli hosting non dovrebbero rilevare la presenza di virus? i link  che mi hai postato dovrebbero da quanto ho capito rilevare la presenza della shell?

Un altra cosa, ho trovato nella root del sito un file di testo (esattamente sembrava un modulo ed il suo nome era qualcosa tipo mod_jeaweater...nn ricordo adesso il nome esatto perchè sono a lavoro e nn posso visionare il file) tale file che doveva in pratica riportare la situazione meteoroligica della mia città, portava all'interno delle stringhe un riferimento al nome C99Shell... avranno forse usato questo per l'attacco?

Questo maledetto modulo lo avevo installato per fare contento un amico...(mannaggia a me), nn ti sembra strano ritrovare questo file nella root del sito?, io di certo nn l'ho messo!.

[mastabrail]

Il modulo di cui parlavo sopra, forse non c'entra (anche se all'interno il riferimento alla shell c'è)... il problema da quanto ho capito forse è stato dovuto più ad una plugin chiamata attachments. E' all'interno della cartella attachments, (che si trovava nella root) che ho scovato un file di nome index2.php aprendolo ho notato che era propio la shell “C99Shell v. 1.0“ una cosa micidiale!! ci ho giocato un po in locale... attraverso essa è possibile avere il controllo totale del sito, leggere i codici di tutti i file e modificarli senza che venga modificata la data dell'ultima modifica (scusate il gioco di parole), ed ancora quindi leggere i parametri del file config ed avere accesso al database. Il responsabile della shell che mi hanno installato ha anche creato oltre ai due file di testo di cui parlavo sopra,anche un file chiamato shop.php che si collega ad un sito di adsense di contenuti ***...ad essere sincero nn mi è chiaro al 100% quale fosse il suo fine.

Quindi mi sembra chiaro che il responsabile abbia, attraverso la plugin attachments, fatto l'upload (magari con qualche bel exploit che si trova nella rete) di questa shell.

Spero che quello che ho detto sia corretto e chiedo aiuto a tutti coloro che sono più esperti di me (ce ne sono davvero molti ) a segnalre qualche inesattezza appena detta circa come secondo me sono andati i fatti.

In passato ho sempre avuto un atteggiamento "menefreghista" per quanto riguarda la sicurezza, pensando sempre che la cosa nn poteva accadere anche a me...ma mi sbagliavo.

Quindi oggi nn posso che invitare tutti coloro che utilizzano joomla ad aggiornare sempre la versione che utilizzano e di nn installare plugin - moduli - componenti di terze parti ad occhi chiusi perchè potrebbero rappresentare delle minacce al vostro sistema, quanto meno verificate le vulnerabilità con una certa frequenza.