Joomla.it Forum
Joomla! 3 => Joomla! 3 => : thewebsurfer 06 Aug 2015, 14:37:53
-
salve, un sito che curo stamane è stato bloccato dall'hosting per spam.
Mentre facevo un backup in locale avira ha rilevato uno script malevolo components\com_mailto\views\mailto\ajax.php
Cercando in giro vedo che ci sono diversi post che lamentano vulnerabilità del componente..
-
Cercando in giro vedo che ci sono diversi post che lamentano vulnerabilità del componente..
dove sono questi post?
avira ha rilevato uno script malevolo components\com_mailto\views\mailto\ajax.php
dov'è questo file in un pacchetto joomla 3.x ?
-
https://www.yireo.com/blog/1214-howto-disable-mailto-component
http://forum.joomla.org/viewtopic.php?p=2727451
http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=24288
quel file ajax.php è uno script malevolo, ho trovato anche joomlasite/plugins/editors/none/lib.php
-
ora prenditi la briga di rivisitare quei link e guardare la data e per ognuna guarda che versione joomla c'era... la 3.4.1 non credo e tu questa dovresti avere
quel file ajax.php è uno script malevolo, ho trovato anche joomlasite/plugins/editors/none/lib.php
------------------------------------------------
quindi ti hanno caricato dei files malevoli per fare spam e altro ma non capisco cosa centra com_mailto. Qualcosa è vulnerabile controlla di avere tutto aggiornato o di non portarti dietro problemi dai vari aggiornamenti
-
avevo già notato le date.
se lo script è in quel path permettimi di sospettare che la vulnerabilità è in quel componente :)
comunque ho eliminato i due script (che probabilmente erano i colpevoli) e ho dato mandato di cambiare tutte le password.
-
Anni fa a me era capitata una cosa simile... Avevo installato un componente vulnerabile e gli hacker mi avevano caricato un sacco di cose sul mio hosting... Tra cui, ovviamente, anche quegli script per inviare email di spam e anche un sito farlocco di paypal, che probabilmente volevano usare per rubare i dati a qualcuno o roba così. Fortuna che me ne sono accorto in tempo e non ha potuto fare il cazzo che gli pareva.
Io ti consiglierei di procedere così:
Prova ad aprire sul browser quel file ajax (il top sarebbe farlo da un sistema operativo su virtual box, per evitare sorprese) e vedere cosa c'è, se c'è uno script per inviare mail di spam oppure una shell. Se c'è una shell, potrebbe essere quello il componente incriminato. Se non c'è una shell ma solo uno script per le email, è molto probabile che in giro per il tuo sito ci sia una shell. Trova la shell (attento, potrebbero anche essercene più di una) e controlla i componenti in cui risiedono quelle shell per verificare delle possibili vulnerabilità. Poi ricarica una copia backup di joomla non infettata (in pratica, una copia del sito che avevi fatto quando ancora non ti avevano infettato il sito.) Poi aggiornala all'ultima versione e risolvi la vulnerabilità che hai trovato. Io ai miei tempi avevo risolto così, ci ho messo una quindicina di giorni di smattamento per risolvere...
-
esattamente come ha detto giggioman00,
components\com_mailto\views\mailto\ajax.php credo sia il file che faceva spam (individuato da avira PHP/Agent.510.2)
plugins\editors\none\lib.php invece è stato individuato come PHP/simpleshell.ddd
-
....non capisco cosa centra com_mailto. Qualcosa è vulnerabile controlla di avere tutto aggiornato o di non portarti dietro problemi dai vari aggiornamenti
... Avevo installato un componente vulnerabile
... e tu che componente vulnerabile hai?
-
di componenti particolari ho form2content e fabrik..