Joomla.it Forum
Non solo Joomla... => Sicurezza => : acquaal2 18 Mar 2009, 16:32:51
-
ci sono appena entrati tramite un sito sul server e hanno installato una marea di file similari a questo:<?php
if (!function_exists("myshellexec"))
{
cutttoneeeeeee
if (!empty($letters)) {echo "Detected drives: ".$letters."
";}
}
if (count($quicklaunch) >
-
ciao acquaal2. :-\
In due parole: hanno fatto un (tristemente) classico upload di uno script che di fatto mette apre una shell su apache.
A parte il codice che hai incollato il tuo messaggio è un po' sintetico.
ci sono appena entrati tramite un sito sul server e hanno installato una marea di file
Immaginiamo una richiesta implicita tipo "e adesso che facciamo?".
Che versione di Joomla è? Ooops.. era?
Componenti e relative versioni istallate?
Hai un backup di tutto?
Hai avvisato il tuo provider?
-
scusa, ma dalla rabbia mi sono dimenticato i particolari, la versione è la 1.5.8, ho appena scritto al provider, il back è stato fatto ma penso che comprenda la violazione (ieri sera alle 21.00), ho appena fatto l'up grade alla versione .9, su questo server avevamo (sig...) 12 siti, dei quali 10 con versione 1.5.9 uno con la 1.0.15 e uno con la 1.5.8, questi ultimi erano solo di supporto.
-
E prima dei quel back-up delle 21:00, proprio mai mai mai?
Magari ce li ha il provider?
-
PURTROPPO OGNI BACK SOVRASCRIVE.MA NON RIESCO ANCORA A CAPIRE DA DOVE SONO ENTRATI.
-
PURTROPPO OGNI BACK SOVRASCRIVE
Facile infierire ora ma.. male, molto male. Almeno 3 roll-back bisognerbbe assicurarli
.MA NON RIESCO ANCORA A CAPIRE DA DOVE SONO ENTRATI.
La 1.5.9 è stata rilasciata perchè la 1.5.8 aveva delle vulnerabilità.
Il tuo hoster ti può aiutare tramite i log di Apache sul resto