Autore Topic: Sito hackerato con riscrittura index del template  (Letto 3900 volte)

Sito hackerato con riscrittura index del template
« il: 15 Ott 2008, 18:38:52 »
salve a tutti, da un pò di giorni sta succedendo una cosa strana al mio sito web: qualcuno, o qualcosa, si intromette nella index del mio file template e inserisce del codice nascosto (del tipo xanax, *** e cose correlate) all'interno della pagina.
Me ne sono accorto quando ho visto che gli annunci di Adsense hanno iniziato a comportarsi in maniera alquanto insolita, proponendo rimendi contro l'impotenza eccetera.

Ho cercato e provato tutte le soluzioni: aggiornato i componenti, modificato i permessi ai files...ecc. Fortunatamente ho un sistema di backup automatico, ma il file viene scritto pochi minuti dopo che lo sostituisco.

Premetto che il sito risiede su un server aruba per cui non mi è stato possibile modificare il PHPREGISTER GLOBALS.

Dall'assistenza mi hanno detto che la sicurezza del mio sito non dipende da quello.
Ho provato a modificare questo valore nel htaccess, ma il server mi restituiva un errore 500.
Vi prego datemi una mano, sono inesperto nel campo e non so come andare avanti.

Il sito è

Grazie a chiunque voglia darmi una mano


Re: Sito hackerato con riscrittura index del template
« Risposta #1 il: 15 Ott 2008, 19:15:16 »
non so se il tuo provider ti permette di usare gli htaccess, ma se così fosse nell'.htaccess metti la seguente stringa: php_admin_flag register_globals off

poi magari vericifa di avere joomla aggiornato e assieme ad esso tutti i suoi componenti

Re: Sito hackerato con riscrittura index del template
« Risposta #2 il: 15 Ott 2008, 19:19:10 »
Il problema è che con la riscrittura del .htaccess il server mi da un errore 500


Re: Sito hackerato con riscrittura index del template
« Risposta #3 il: 15 Ott 2008, 19:22:27 »
eh? se carichi un htaccess con direttive sbagliate o che cmq il server non sa interpretare ti da un errore 500

cos'hai dentro al tuo .htaccess?

Re: Sito hackerato con riscrittura index del template
« Risposta #4 il: 15 Ott 2008, 19:28:26 »
Al momento questo:
# @version $Id: htaccess.txt 5973 2006-12-11 01:26:33Z robs $
# @package Joomla
# @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
# @license GNU/GPL
# Joomla! is Free Software

# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
# Only use one of the two SEF sections that follow.  Lines that can be uncommented
# (and thus used) have only one #.  Lines with two #'s should not be uncommented
# In the section that you don't use, all lines should start with #
# For Standard SEF, use the standard SEF section.  You can comment out
# all of the RewriteCond lines and reduce your server's load if you
# don't have directories in your root named 'component' or 'content'
# If you are using a 3rd Party SEF or the Core SEF solution
# uncomment all of the lines in the '3rd Party or Core SEF' section

#####  SOLVING PROBLEMS WITH COMPONENT URL's that don't work #####
# In both the 'Standard SEF', and '3rd Party or Core SEF' sections the line:
# RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
# May need to be uncommented.  If you are running your Joomla!/Mambo from
# a subdirectory the name of the subdirectory will need to be inserted into this
# line.  For example, if your Joomla!/Mambo is in a subdirectory called '/test/',
# change this:
# RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
# to this:
# RewriteCond %{REQUEST_URI} ^(/test/component/option,com) [NC,OR] ##optional - see notes##

##  Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks

#  mod_rewrite in use

RewriteEngine On

#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla!/MamboDirectory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section
############# Use this section if using ONLY Joomla! core SEF
## ALL (RewriteCond) lines in this section are only required if you actually
## have directories named 'content' or 'component' on your server
## If you do not have directories with these names, comment them out.
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]       ##optional - see notes##
RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
RewriteRule ^(content/|component/) index.php
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]*
RewriteRule ^.*$ [R,L]
########## End - Joomla! core SEF Section

########## Begin - 3rd Party SEF Section
############# Use this section if you are using a 3rd party (Non Joomla! core) SEF extension - e.g. OpenSEF, 404_SEF, 404SEFx, SEF Advance, etc
#RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]       ##optional - see notes##
#RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
#RewriteCond %{REQUEST_FILENAME} !-f
#RewriteCond %{REQUEST_FILENAME} !-d
#RewriteRule (.*) index.php
########## End - 3rd Party SEF Section

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
########## End - Rewrite rules to block out some common exploits

# Overload PHP variables:
<IfModule mod_php4.c>
   # If you are using Apache 2, you have to use <IfModule sapi_apache2.c>
   # instead of <IfModule mod_php4.c>.
   php_value register_globals        0
   php_value track_vars              1
   php_value short_open_tag          1
   php_value magic_quotes_gpc        0
   php_value magic_quotes_runtime    0
   php_value magic_quotes_sybase     0
   php_value arg_separator.output    "&amp;"
   php_value session.cache_expire    200000
   php_value session.gc_maxlifetime  200000
   php_value session.cookie_lifetime 2000000
   php_value session.auto_start      0
   php_value session.save_handler    user
   php_value session.cache_limiter   none
   php_value allow_call_time_pass_reference  On

anche se quest'ultima parte non sembra avere effetto


Re: Sito hackerato con riscrittura index del template
« Risposta #5 il: 15 Ott 2008, 19:37:06 »
a me quell'.htaccess non da errori ... ma il tuo host ha apache 1 e php4?

# If you are using Apache 2, you have to use <IfModule sapi_apache2.c>
# instead of <IfModule mod_php4.c>.

Re: Sito hackerato con riscrittura index del template
« Risposta #6 il: 15 Ott 2008, 19:44:07 »
Infatti questo file non da problemi neanche a me, ma nel momento in cui cerco di flaggare il register global su off mi da errore.
Ora non ricordo bene, ma la stringa dovrebbe esere qualcosa del genere:
php_flag register_globals off

ma anche con

php_flag register_globals = off
php_flag register_globals = 0
php_flag register_globals 0

Re: Sito hackerato con riscrittura index del template
« Risposta #7 il: 16 Ott 2008, 00:44:30 »
controllare le faq e note del provider ...

su quel host il set di comandi permesso nel htaccess è volutamente molto limitato, se si usa qualcosa non previsto da errore 500 (e a volte è pure una pena poi far tornare su il sito ...)

ache io ho dei siti da loro, aggiornati sia come joomla che come componenti (tutto patchato e bello funzionante) ma ... continuavano a mettermi delle pagine html nel dominio o a modificare degli index.php e .html (a mio avviso non sfruttando falle di joomla o componenti correlati ma altro ... va bhè son opinioni ...) comunque purtroppo unica soluzione che mi ha risolto il problema è stato usare l'ultima versione del sh404SEF (che ha un piccolo sistema di sicurezza integrato) e un componente commerciale che si occupa di proteggere il sito da alcuni tipi di attacchi (non so quanto sia effettivamente buono ma da quando l'ho installato il sito non ha più avuto problemi e il tool segnala vari tentativi di attacco al mese da varie classi di IP comunque sempre delle stesse zone ...)


