Files modificati di continuo da Crackers.

[donpablos]

Salve,
di recente ho subito continui attacchi con exploit sul sito con joomla 1.5.9 dopo aver quindi aggiornato tutto il possibile alle ultime versioni, ho continuato a subire modifiche nella index del template, cosicchè sto pensando anche di cambiare template.

Nel frattempo però ho fatto girare ogni ora, uno script sul server che mi avverte di eventuali modifiche eseguite su alcuni files nell'ultima ora, in questo modo sono sempre al corrente dei files modificati da malintenzionati.

Nelle ultime notifiche di questo script ho trovato il file "core" di circa 16 Mb, presente nella root di joomla 1.5

Volevo chiedervi se potete informarmi di cosa si occupa questo file, se appunto le modifiche subite sono affidabili cioè generate dal motore di joomla o sono state effettuate da altri.

Grazie.

[foxhy]

Ciao anche il mio index del template viene sempre modificato nonostante ho effettuato tutti gli aggiornamenti possibili (core joomla, moduli, componenti). Ho persino settato l'index del template con permessi 444.

  Noto anche io nella root il file "core"

[.anter]

Ciao, a me questo file core non risulta... perchè non provate a toglierlo per verificare 

[emgent]

Salve,
di recente ho subito continui attacchi con exploit sul sito con joomla 1.5.9 dopo aver quindi aggiornato tutto il possibile alle ultime versioni, ho continuato a subire modifiche nella index del template, cosicchè sto pensando anche di cambiare template.

Nel frattempo però ho fatto girare ogni ora, uno script sul server che mi avverte di eventuali modifiche eseguite su alcuni files nell'ultima ora, in questo modo sono sempre al corrente dei files modificati da malintenzionati.

Nelle ultime notifiche di questo script ho trovato il file "core" di circa 16 Mb, presente nella root di joomla 1.5

Volevo chiedervi se potete informarmi di cosa si occupa questo file, se appunto le modifiche subite sono affidabili cioè generate dal motore di joomla o sono state effettuate da altri.

Grazie.

Mi son permesso di modificare il titolo del thread visto che la parola "Hacker" non e` consona al contenuto.

Comunque, non basta controllare la documentroot, fossi in te farei un check piu` a basso livello. Non so se il server e` dedicato/virtuale o se sei semplicemente in hosting, ma non mi fermerei alla directory web, ci sono molti luoghi dove e` possibile depositare materiale malevolo per poi richiamarlo a piacimento.

Comunque, se vuoi maggiori informazioni non esitare a contattarmi via skype (emanuele.gentili).

[foxhy]

Ho fatto un controllo su altre installazioni joomla 1.x.x e 1.5 .x e il file senza estensione di nome "core" che nel mio caso è di circa 10Mb, non c'è. Di conseguenza l'ho eliminato.
Ma qualche amministratore esperto può illuminarmi su questo file!
Esiste nelle vostre installazioni?

NB. fate un controllo accurato anche su cartelle sospette che non hanno niente a che fare con la vostra installazione di joomla, magari sono cartelle vecchie non più utilizzate dove prima avevate script che vi servivano sul precedente sito non joomla.
Controllate anche file.php sospetti che risiedono nella root.
Personalmente ho identificato file strani da nomi apparentemente innocui come per esempio 1.php ecc.

Buona sicurezza a tutti!

[donpablos]

Si anch'io ho eliminato il file core (16 Mb). speriamo bene...