Joomla.it Forum
Non solo Joomla... => Sicurezza => : die84albe 25 Oct 2011, 16:11:55
-
ciao a tutti!
come da titolo stamattina mi sono accorto di un sito j1.7.2irraggiungibile e ho trovato in qualsiasi file html questo righe di comando
<script>try{document.asd.removeChild({})}
Edited:eliminato codice malevolo
Help!
qualcuno ha riscontrato stesso errore/attacco?
-
aggiungo info:
utilizzando firebug, compaiono queste nuove righe a fondo pagina:
Edited:eliminato codice malevolo
retunger.com? ???
-
aggiungo info:
il tutto sembra partire dal file jblibrary.php
dove compaiono le seguenti righe:
$body = str_replace ("
Edited:eliminato codice malevolo
-
le righe malevoli una volta cancellate e dopo aver ricaricato tuto ftp compiono nuovamento dopo pochi minuit.... sticxxx >:( >:(
-
Dopo aver eliminato tutte le righe interessate ....sembra tutto apposto .. invece dopo 10 min:
www/libraries/joomla/application/application.php on line 326
Edited:eliminato codice malevolo {
con nuovi index.html infetti!!!
help!!!!!!
-
Di che tipo di attacco si tratta, da dove caspita entra sto schif!?
:o
-
se non fai un post ogni 20 secondi forse rispondono... :)
-
Non è un'attacco rivolto a te...
http://akbc.retunger.com/count7.php ha ospitato 1 exploit ed è attualmente diffidato da google, in qualche modo tu o un tuo visitatore deve essere entrato in contatto con questo dominio.
-
scusa seba, ::) volevo tenervi aggiornati ! :)
Grazie dell'informazione Mist3r, considerando che io non sono stato in contatto con il dominio in questione, e il sito in questione non ha utenti ma al massimo visitatori come sottolini tu, come cavolo ha ridotto così il sito, o meglio ancora come diavolo me ne libero?
attualmente il sito è offline ed ho cancellato tutti i file sul web, puo essere coinvolto anche il database?
Ciao e grazie
-
A giudicare da quello che si vede, il db potrebbe essere integro, ma la maggior parte degli exploit colpiscono prima quello...
-
suggerimenti?
-
Ciao die84albe,
ho dovuto eliminare il codice malevolo dai tuoi post perchè è pericoloso lasciarlo lì.
Sposto il tuo messaggio nella sezione sicurezza, ti consiglio di leggere i post in evidenza in quella sezione che spiegano cosa fare in un caso come il tuo.
Essenzialmente, pe essere sicuro, dovresti spianare tutto e ricominciare da zero. ;)
-
Scusami maicolstaip non volevo mettere a rischio il forum! ???
Vi aggiorno sullo stato delle cose...
ieri sera ho effettuato un backup del sito "malato" e relativo db
ho spianato server e database e lasciato riposare tutta notte ::) , nel frattempo ho esaminato i file corrotti , ed esaminato il db.... che sembra essere intatto "sembra"
dopodichè stamattina ho ricaricato il tutto, ora sono passate 6 ore e sembra tutto ok..... "sembra" :o
Mi sarebbe piaciuto capirne di più sul tipo di attacco, dal momento che è avvenuto su una versione di j direi piu che aggiornata (1.7.2) e non avendo estensioni installate, la cosa preoccupa molto.
PS un VaFFFFF****************oOoO! e quei bbk che hanno perso tempo per rompere i..... al sottoscritto e avermi fatto perdere una sera davanti al pc..... bastardi.
-
ma l'hai letto il post in testa a qs sezione?
perchè scaricare i files ed esaminarli quando puoi mettere quelli nuovi presi da un pacchetto originale?
Sei sicuro di non essere tu la causa dell'infezione?
La 1.7.2 vulnerabile direi che è l'ultima cosa a cui penserei (senza escluderlo)
M.