Joomla.it Forum

Non solo Joomla... => Sicurezza => : MaxP4 02 Apr 2010, 22:51:13

: Siti sotto attacco su xxxxxxxxxxxxx
: MaxP4 02 Apr 2010, 22:51:13

Da ieri anche quasi tutti i miei siti su quel famoso provider di Arezzo che si chiama come quella famosa isola (dove andrò io a breve se continua 'sto casino) sono stati attaccati con successo. Non solo i siti con Joomla! ma anche un paio di siti dove non c'era niente se non una index.php con scritto "in allestimento" e che non erano mai stati né aperti né altro.

Quindi a questo punto direi che né Joomla! né le sue extension c'entrino, ma che sia un problema proprio di... e diciamolo... S G A R A G N A O!


Per risolvere ho solo copiato una index.php da una installazione pulita nelle varie directory. Spero di risolvere così anche se mi sembra troppo semplicistico.

: Re:Siti sotto attacco su S G A R A G N A O!
: mmleoni 02 Apr 2010, 23:38:22

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.

ciao,
marco

: Re:Siti sotto attacco su S G A R A G N A O!
: mau_develop 02 Apr 2010, 23:44:26

non sta succedendo proprio nulla, se non una piccola darknet che continua a lanciare tutte le stringhe di exploit noti su tutti i cms.

Attaccano le index perchè sicuramente avviene con uno script (chi è più figo attaccherà anche altri files personalizzando le request.

Se hai un file php è perchè da qualche parte hai una backdoor o comunque riescono ad uppare una shell.jpg e poi farla diventare .php

visto che insisti tanto provo ad indagare ...ma sono sempre propenso a credere che lasci qualche buco

M.

: Re:Siti sotto attacco su S G A R A G N A O!
: MaxP4 03 Apr 2010, 01:28:58

: mmleoni  02 Apr 2010, 23:38:22

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.

ciao,
marco

Sgaragnao quando attiva un nuovo sito su server Linux ci mette di default ina index.php "In costruzione".

: Re:Siti sotto attacco su S G A R A G N A O!
: MaxP4 03 Apr 2010, 01:32:20

: mau_develop  02 Apr 2010, 23:44:26

Se hai un file php è perchè da qualche parte hai una backdoor o comunque riescono ad uppare una shell.jpg e poi farla diventare .php

visto che insisti tanto provo ad indagare ...ma sono sempre propenso a credere che lasci qualche buco

M.

Grazie per "l'indagamento"... onestamente non ci sto capendo più niente. Per quanto riguarda la backdoor sono d'accordo con te, è il metodo principale di infettamento... ma quando mi sono trovato infettata anche una pagina di un sito in allestimento (era la index.php) senza db, senza moduli, senza niente allora mi sono un po' preoccupato.

Nel codice ho trovato una stringa lunghissima di caratteri... più o meno quella postata stamattina nella discussione che mi hai spostato.

: Re:Siti sotto attacco su S G A R A G N A O!
: Veritas 03 Apr 2010, 10:33:44

Io ho tre siti Joomla che uso per fare i test ma non mi è successo nulla, nemmeno sulla pagina index di default.

Non so in che modo avvenga questo casino.

Ciao a tutti e Buona Pasqua
Marco

: Re:Siti sotto attacco su xxxxxxxxxxxxx
: 56francesco 03 Apr 2010, 10:36:22

ciao, per i siti con joomla ci sarebbero molte cose da vedere, ma se gli altri non avevano niente (anche se mi chiedo che ci fosse in quella index, e perché fosse un php) andrebbe allertata l'assistenza.