possibile hackeraggio??

[pppppaolo]

Ciao a tutti, ho un problema/dubbio: oggi sono andato ad aprire con filezilla il sito che gestisto ed ho trovato all'interno 6 cartelle che non avevo mai visto chiamate milko100, milko101....fino a milko105. All'interno c'è un file index.html, un file map---.html e una serie di files denominati "zo" che vanno da zo0.html a zo492.html.
Sapete dirmi se può trattarsi di qualche hackeraggio o sono semplicemente files generati da qualche componente che ho installato??

[mau_develop]

Ciao a tutti, ho un problema/dubbio: oggi sono andato ad aprire con filezilla il sito che gestisto
-----------------------------------------------------------------
-link del sito, versione di joomla


 ed ho trovato all'interno 6 cartelle
---------------------------------------
all'interno di che? Della root? del template?

che non avevo mai visto chiamate milko100, milko101....fino a milko105.
-------------------------------------------------------------
...in lingua slava è la derivazione di un nome proprio


Sapete dirmi se può trattarsi di qualche hackeraggio o sono semplicemente files generati da qualche componente che ho installato??
------------------------------------------------------------
se dici i componenti che hai installato.....

M.

[pppppaolo]

Ciao a tutti, ho un problema/dubbio: oggi sono andato ad aprire con filezilla il sito che gestisto
-----------------------------------------------------------------
-link del sito, versione di joomla


 ed ho trovato all'interno 6 cartelle
---------------------------------------
all'interno di che? Della root? del template?

che non avevo mai visto chiamate milko100, milko101....fino a milko105.
-------------------------------------------------------------
...in lingua slava è la derivazione di un nome proprio


Sapete dirmi se può trattarsi di qualche hackeraggio o sono semplicemente files generati da qualche componente che ho installato??
------------------------------------------------------------
se dici i componenti che hai installato.....

M.

Ciao, hai ragione, ti dò qualche info in più:
- sito: xxxxxxxxxxxxx  (anche se non sembra ci sia niente di visibile da Front end!), joomla 1.5.14
- all'interno di pubblic_html
- componenti installate oltre a quelle di default: Acajoom, Jform, Joomlapack, Phocafavicon, PhocaGallery.

[mau_develop]

joomla 1.5.14
-----------------
vulnerabile, da aggiornare

all'interno di pubblic_html
---------------------------
moduli e componenti solitamente usano directory già esistenti o ne creano all'interno della loro directory di installazione mod_XXXX, com_XXXX.

Acajoom, Jform, Joomlapack, Phocafavicon, PhocaGallery
------------------------------------------------------
se appartengono, come periodo temporale, a quando hai installato la .14 sono tutti da aggiornare.

si, probabilmente è un'iniezione di codice; c'è del contenuto nelle cartelle/files sconosciuti? (aprile in locale con un editor e non in remoto)

M.

...ma che bel lavoro che ha fatto!
Un bel cross site request forgery
Puoi iscriverti a newsletter, visitare pagine sue ...

TOGLI TUTTO

M.

[pppppaolo]

si nei files c'è del codice, te lo incollo qui sotto o preferisci che te lo scriva con un mp??

Ma per risolvere basta aggiornare e cancellare le cartelle suddette?

[mau_develop]

già visto già visto ....

...ma che bel lavoro che ha fatto!
Un bel cross site request forgery
Puoi iscriverti a newsletter, visitare pagine sue ...

TOGLI TUTTO

in qs sezione ci sono thread con descrizioni per il ripristino dopo situazioni simili, prova a dargli un'occhiata.
Sommariamente direi:

cancella le cartelle e aggiorna tutto

M.

[pppppaolo]

già visto già visto ....

...ma che bel lavoro che ha fatto!
Un bel cross site request forgery
Puoi iscriverti a newsletter, visitare pagine sue ...

TOGLI TUTTO

in qs sezione ci sono thread con descrizioni per il ripristino dopo situazioni simili, prova a dargli un'occhiata.
Sommariamente direi:

cancella le cartelle e aggiorna tutto

M.

...ho trovato anche un'altra cartella che si chiama: naeoiu41 che più o meno funziona allo stesso modo, solo che i files iniziano con la parola "ki".
...ma quindi cancello queste cartelle che ti ho elencato e basta (oltre ad aggiornare il tutto!)

[mau_develop]

Ad essere sinceri, per aver la garanzia di pulire correttamente tutto bisognerebbe fare una nuova installazione dopo aver piallato tutto.
Ma questo ti costringerebbe a reinstallare tutte le addons aggiuntive.

Visto che non è comunque malware, si può tentare anche la cancellazione dei contenuti che ritieni non ti appartengano e il successivo aggiornamento, della vesione Joomla ma anche dei componenti installati, che non si aggiornano se aggiorni solo Joomla.

M.

[pppppaolo]

in qs sezione ci sono thread con descrizioni per il ripristino dopo situazioni simili, prova a dargli un'occhiata.

Potresti gentilmente linkarmi i thread di cui mi parlavi? Ho fatto una ricerca ma non ho trovato niente.

grazie mille

[mau_develop]

http://forum.joomla.it/index.php/topic,91215.0.html

M.