Autore Topic: Siti sotto attacco su xxxxxxxxxxxxx (Letto 1944 volte)

MaxP4 · « **il:** 02 Apr 2010, 22:51:13 »

Da ieri anche quasi tutti i miei siti su quel famoso provider di Arezzo che si chiama come quella famosa isola (dove andrò io a breve se continua 'sto casino) sono stati attaccati con successo. Non solo i siti con Joomla! ma anche un paio di siti dove non c'era niente se non una index.php con scritto "in allestimento" e che non erano mai stati né aperti né altro.

Quindi a questo punto direi che né Joomla! né le sue extension c'entrino, ma che sia un problema proprio di... e diciamolo... S G A R A G N A O!

Per risolvere ho solo copiato una index.php da una installazione pulita nelle varie directory. Spero di risolvere così anche se mi sembra troppo semplicistico.

mmleoni · « **Risposta #1 il:** 02 Apr 2010, 23:38:22 »

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.

ciao,
marco

mau_develop · « **Risposta #2 il:** 02 Apr 2010, 23:44:26 »

non sta succedendo proprio nulla, se non una piccola darknet che continua a lanciare tutte le stringhe di exploit noti su tutti i cms.

Attaccano le index perchè sicuramente avviene con uno script (chi è più figo attaccherà anche altri files personalizzando le request.

Se hai un file php è perchè da qualche parte hai una backdoor o comunque riescono ad uppare una shell.jpg e poi farla diventare .php

visto che insisti tanto provo ad indagare ...ma sono sempre propenso a credere che lasci qualche buco

M.

MaxP4 · « **Risposta #3 il:** 03 Apr 2010, 01:28:58 »

Citazione da: mmleoni - 02 Apr 2010, 23:38:22

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.

ciao,
marco

Sgaragnao quando attiva un nuovo sito su server Linux ci mette di default ina index.php "In costruzione".

MaxP4 · « **Risposta #4 il:** 03 Apr 2010, 01:32:20 »

Citazione da: mau_develop - 02 Apr 2010, 23:44:26

Se hai un file php è perchè da qualche parte hai una backdoor o comunque riescono ad uppare una shell.jpg e poi farla diventare .php

visto che insisti tanto provo ad indagare ...ma sono sempre propenso a credere che lasci qualche buco

M.

Grazie per "l'indagamento"... onestamente non ci sto capendo più niente. Per quanto riguarda la backdoor sono d'accordo con te, è il metodo principale di infettamento... ma quando mi sono trovato infettata anche una pagina di un sito in allestimento (era la index.php) senza db, senza moduli, senza niente allora mi sono un po' preoccupato.

Nel codice ho trovato una stringa lunghissima di caratteri... più o meno quella postata stamattina nella discussione che mi hai spostato.

Veritas · « **Risposta #5 il:** 03 Apr 2010, 10:33:44 »

Io ho tre siti Joomla che uso per fare i test ma non mi è successo nulla, nemmeno sulla pagina index di default.

Non so in che modo avvenga questo casino.

Ciao a tutti e Buona Pasqua
Marco

56francesco · « **Risposta #6 il:** 03 Apr 2010, 10:36:22 »

Citazione

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.

Autore Topic: Siti sotto attacco su xxxxxxxxxxxxx (Letto 1944 volte)

MaxP4

Siti sotto attacco su xxxxxxxxxxxxx

mmleoni

Re:Siti sotto attacco su S G A R A G N A O!

mau_develop

Re:Siti sotto attacco su S G A R A G N A O!

MaxP4

Re:Siti sotto attacco su S G A R A G N A O!

MaxP4

Re:Siti sotto attacco su S G A R A G N A O!

Veritas

Re:Siti sotto attacco su S G A R A G N A O!

56francesco

Re:Siti sotto attacco su xxxxxxxxxxxxx