Joomla.it Forum

Non solo Joomla... => Sicurezza => Topic aperto da: gorky - 19 Nov 2008, 17:17:01

Titolo: Hacker in azione cercasi BUG
Inserito da: gorky - 19 Nov 2008, 17:17:01
Mi sono ritrovato degli script utilizzati per il furto di dati personali di accesso a conti on line... installati (pare) attraverso un bug di joomla (possiedo la 1.5.8).

Questi script hanno generato nel mio server un numero spropositato di processi e di invio mail (15.000 mail).

Se pu essere utile a qualcuno faccio presente che in genere tali script vengono installati nella directory ADMIN nel mio caso sono i seguenti:
/Admin/dr-jad
/Admin/dr-jad/lang.css
/Admin/dr-jad/logo_ccCofidis_37wx23h.gif
/Admin/dr-jad/s86378651408394.gif
/Admin/dr-jad/pp_main.js
/Admin/dr-jad/logo_ccAurora_37wx23h.gif
/Admin/dr-jad/logo_ccVisa.gif
/Admin/dr-jad/paypal.css
/Admin/dr-jad/pp_naturalsearch.js
/Admin/dr-jad/pixel.gif
/Admin/dr-jad/paypal_logo.gif
/Admin/dr-jad/logo_ccMC.gif
/Admin/dr-jad/flowSignUpQuickHits.css
/Admin/dr-jad/yahoo-dom-event.js
/Admin/dr-jad/legal.css
/Admin/dr-jad/secure_lock_2.gif
/Admin/dr-jad/pp_jscode_080706.js
/Admin/dr-jad/secret.jpg
/Admin/dr-jad/paypal.js
/Admin/dr-jad/paypal.bmp
/Admin/dr-jad/logo_ccCofinoga_22wx23h.gif
/Admin/dr-jad/injection_graph_func.js
/Admin/dr-jad/Thumbs.db
/Admin/dr-jad/PayPal_mark_37x23.gif
/Admin/dr-jad/icon_hearing_14x13.gif
/Admin/webscr.php
/Admin/Confirm.php
/Admin/error_log
/Admin/Dr-JaD.php
/Admin/Confirmation.htm
/Admin/Processing.php
/Admin/error_login.php
/Admin/Submit.php
/Admin/error_login.htm
/Admin/Thanks.php

Qualcuno ne sa qualcosa in pi come fare perch ci non accada????
Titolo: Re: Hacker in azione cercasi BUG
Inserito da: alexred - 19 Nov 2008, 17:20:21
Ciao gorky,
se la tua versione di joomla la 1.5.8 controllerei se ci sono estensioni esterne installate. Forse il bug risiede in queste estensioni esterne.
Titolo: Re: Hacker in azione cercasi BUG
Inserito da: gorky - 19 Nov 2008, 17:33:48
si la 1.5.8... ho pensato anche io ai componenti ma non uso niente di particolare... prodotti molto comuni.. tutti aggiornati e nessuno dei siti relativi segnala bug di questo tipo.

fireboard
community builder
acajoom
acctexp
seyret
hwdvideoshare
artforms
myblog
phocafavicon

Il template originale di rockettheme.

possibile secondo te che quando me lo hanno defacciato abbiano anche installato gli script? lo hanno defacciato 2 volte con la 1.5.6.
Titolo: Re: Hacker in azione cercasi BUG
Inserito da: alexred - 19 Nov 2008, 18:28:20
si, certo che possibile, se stato defacciato in precedenza...
Titolo: Re: Hacker in azione cercasi BUG
Inserito da: = odino = - 20 Nov 2008, 14:14:13
si, certo che possibile, se stato defacciato in precedenza...

... molto probabile ti siano entrati da quella volta. Cambiate le pass FTP, MySQL e joomla?
Titolo: Re: Hacker in azione cercasi BUG
Inserito da: Locu - 22 Nov 2008, 01:26:37
ciao,
mi linkeresti il tuo sito... inoltre puoi zipparmi i file che hai trovato e sendarmeli, voglio cotnrollare delle cose. thx