Exploit Web Attacker

[sav]

Ho un sito con joomla 1.015 ackerato. AVG mi dice che ha Exploit Web Attacker.
Mi hanno anche cambiato la password di amministrazione.
Ora ho rimesso i files originali, ma credo che tornerà presto l'acker. Che procedura posso seguire?
Grazie

[bigham]

Ciao sav.
Controlla tutti i moduli, componente e plugin per vedificare se qualcuno di questi può aver provocato problemi. Verifica se sono state rilasciate versioni aggiornate e installa l'ultima versione.

Cambia tutte le password!

[foxhy]

Ciao sav, anche a me su 3 siti è successa una cosa simile 2 siti con joom 1.5 e uno con 1.015.
Come giustamente ti ha consigliato bigham devi assolutamente aggiornare tutti i componenti moduli mambot del tuo sito... ma questo forse non basterà (perlomeno a me non è bastato, dopo poco tempo sono riusciti a entrare di nuovo).
Mi sono particolarmente insospettito sulla facilità di accesso di questi stronzhaker sopratutto sulla loro facilità di entrare e modificare qualsiasi cosa presente sullo spazio web con privilegi FTP.

Mi sono preso di pazienza e ho scaricato tutta la cartella del server sul mio PC e ho fatto queste operazioni:

- ho fatto fare una scansione accurata alla cartella scaricata dal server al mio antivirus kaspersky. Non ci credevo nemmeno io!! l'antivirus mi segnala due file che all'interno nascondevano un codice che richiamava una shell con tanto di password di accesso settata.

-ho controllato tutte le cartelle confrontandoli con quelle del pacchetto di installazione originale di joomla. Ho scoperto alcuni file (anche una cartella) che non avevano niente a che fare con quelle originali joomla. Alcuni nomi di questi file.php erano uguali a qualche nome di foto, componente ecc. veramente esistenti nel mio sito joomla . Apparentemente sembravano innocui ma all'interno c'erano cose veramente strane quasi incompressibili.

insomma ho speso tanto tempo ad effettuare un controllo nel fondo basso, alla ricerca di qualsiasi cosa strana che non mi tornava.

Stanco di fare questa vita ho eliminato quasi tutti i componenti che avevo installato incluso moduli e mambot (ne sono rimasti veramente pochi circa 6).

Ovviamente ho ripulito il tutto. Adesso sembra che il fenomeno si sia fermato.....magari entrano domani.... ma come spesso si dice anche qui in questo forum, la sicurezza non è mai al 100%

a... dimenticavo ho effettuato per filo e per segno anche quello che viene detto in questa guida:
http://www.linux.com/feature/123664 (ne esiste una traduzione in italiano su questo forum ma non ricordo il link), alcune cose erano già apposto, mentre quella sul php.ini no. Nel particolare il punto in cui parla di questa modifica da effettuare"There's more you can do to further harden the php.ini file. To make SQL inject attacks bounce, put the following two lines in your php.ini file"

Trovato il link in Italiano:
http://www.joomla.it/index.php?option=com_content&task=view&id=569&Itemid=13

Ciao e buon lavoro.

[bigham]

E aggiungerei una cosa non da poco: se il server su cui hai il sito ha una versione di php precedente alla 5... cambia host o chiedi che aggiornino ad una versione 5 o superiore.

Le versioni di php precedenti alla 5 hanno un bug di sicurezza sfruttabile da chi non ha di meglio da fare nella vita che rendere la nostra ancora più complicata

[emgent]

E aggiungerei una cosa non da poco: se il server su cui hai il sito ha una versione di php precedente alla 5... cambia host o chiedi che aggiornino ad una versione 5 o superiore.

Le versioni di php precedenti alla 5 hanno un bug di sicurezza sfruttabile da chi non ha di meglio da fare nella vita che rendere la nostra ancora più complicata

Non è assolutamente vero, php4 lato secuirty viene mantenuto comunque.

E.

[bigham]

Non è assolutamente vero, php4 lato secuirty viene mantenuto comunque.

E.

Forse hai ragione, però bisogna vedere se il servizio di hosting tiene aggiornato il php

Ho visto siti in joomla defacciati solo per un bug di php 4