Joomla.it Forum
Non solo Joomla... => Sicurezza => : mikysal78 17 Oct 2016, 00:10:56
-
Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184
Mi ritrovo almeno con un paio di file al giorno.
Ultima versione di Joomla e K2
ho anche customizzato il php.ini
register_globals=off
safe_mode=off
allow_url_fopen=off
display_errors=off
session.save_path='/tmp'
extension=pdo.so
extension=pdo_mysql.so
disable_functions="exec,passthru,shell_exec,system,proc_open,curl_multi_exec,show_source,phpinfo,popen,phpinfo,mail"
file_uploads = On
post_max_size = 200M
upload_max_filesize = 200M
avete soluzioni?
Grazie
-
Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
-
Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
Grazie Ste per la risposta.
Cmq non uso FTP ma solo SFTP e non c'è nessun account FTP creato.
Le credenziali le ho cabiate più di qualche volta.
Ho fatto più volte il test con scuri ed è sempre verde tranne per la mancanza del loro firewall.
CentoraSecurity mi riporta 0 vulnerabilità
SecurityCheck mi da questo log (allego l'immagine).
Adesso sto eseguendo un test con joomscan, se è il caso posso allegare anche il file txt di output.
Altri consigli?
Grazie mille.
-
Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184
ho anche customizzato il php.ini
avete soluzioni?
Grazie
File criptati base64 trovati: Sì.
Che inviano spam a tavoletta per fortuna no.
{HEX}php.base64.v23au.184 è ancora uno sconosciuto per me.
Ma, senti, hai decodificato base64 il codice malevolo che hai trovato per capire cosa fa? Probabilmente è quello che fa gli invii.
E .htaccess è ancora quello di joomla oppure è stato cambiato?
Dopo aver modificato le credenziali bisognerebbe anche cancellarlo, il codice iniettato.
Php ini customizzato. Non penso serva a molto perché la funzione più micidiale, eval() non è eliminabile in quanto fa parte del core del php.
Ciao!