Joomla.it Forum

Non solo Joomla... => Sicurezza => : mikysal78 17 Oct 2016, 00:10:56

: problema con {HEX}php.base64.v23au.184
: mikysal78 17 Oct 2016, 00:10:56: Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184

Mi ritrovo almeno con un paio di file al giorno.
Ultima versione di Joomla e K2

ho anche customizzato il php.ini
:
register_globals=off safe_mode=off allow_url_fopen=off display_errors=off session.save_path='/tmp' extension=pdo.so extension=pdo_mysql.so disable_functions="exec,passthru,shell_exec,system,proc_open,curl_multi_exec,show_source,phpinfo,popen,phpinfo,mail" file_uploads = On post_max_size = 200M upload_max_filesize = 200M
avete soluzioni?
Grazie
: Re:problema con {HEX}php.base64.v23au.184
: ste 17 Oct 2016, 10:41:54: Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
: Re:problema con {HEX}php.base64.v23au.184
: mikysal78 17 Oct 2016, 19:37:26: : ste 17 Oct 2016, 10:41:54
Ciao mikysal78,
cambia le credenziali di accesso ftp e di accesso a Joomla
Grazie Ste per la risposta.
Cmq non uso FTP ma solo SFTP e non c'è nessun account FTP creato.
Le credenziali le ho cabiate più di qualche volta.
Ho fatto più volte il test con scuri ed è sempre verde tranne per la mancanza del loro firewall.
CentoraSecurity mi riporta 0 vulnerabilità
SecurityCheck mi da questo log (allego l'immagine).

Adesso sto eseguendo un test con joomscan, se è il caso posso allegare anche il file txt di output.

Altri consigli?

Grazie mille.
: Re:problema con {HEX}php.base64.v23au.184
: Alex21 17 Oct 2016, 20:01:22: : mikysal78 17 Oct 2016, 00:10:56
Ciao ragazzi,
a voi è capitato di trovare file php criptati in base64 che inviano spam a tavoletta?
il report di LinuxMalwareDetect mi riporta come informazione che si tratta di {HEX}php.base64.v23au.184

ho anche customizzato il php.ini

avete soluzioni?
Grazie
File criptati base64 trovati: Sì.
Che inviano spam a tavoletta per fortuna no.
{HEX}php.base64.v23au.184 è ancora uno sconosciuto per me.

Ma, senti, hai decodificato base64 il codice malevolo che hai trovato per capire cosa fa? Probabilmente è quello che fa gli invii.
E .htaccess è ancora quello di joomla oppure è stato cambiato?
Dopo aver modificato le credenziali bisognerebbe anche cancellarlo, il codice iniettato.
Php ini customizzato. Non penso serva a molto perché la funzione più micidiale, eval() non è eliminabile in quanto fa parte del core del php.
Ciao!