Joomla.it Forum

Non solo Joomla... => Sicurezza => : gorky 19 Nov 2008, 17:17:01

: Hacker in azione cercasi BUG
: gorky 19 Nov 2008, 17:17:01

Mi sono ritrovato degli script utilizzati per il furto di dati personali di accesso a conti on line... installati (pare) attraverso un bug di joomla (possiedo la 1.5.8).

Questi script hanno generato nel mio server un numero spropositato di processi e di invio mail (15.000 mail).

Se può essere utile a qualcuno faccio presente che in genere tali script vengono installati nella directory ADMIN nel mio caso sono i seguenti:
/Admin/dr-jad
/Admin/dr-jad/lang.css
/Admin/dr-jad/logo_ccCofidis_37wx23h.gif
/Admin/dr-jad/s86378651408394.gif
/Admin/dr-jad/pp_main.js
/Admin/dr-jad/logo_ccAurora_37wx23h.gif
/Admin/dr-jad/logo_ccVisa.gif
/Admin/dr-jad/paypal.css
/Admin/dr-jad/pp_naturalsearch.js
/Admin/dr-jad/pixel.gif
/Admin/dr-jad/paypal_logo.gif
/Admin/dr-jad/logo_ccMC.gif
/Admin/dr-jad/flowSignUpQuickHits.css
/Admin/dr-jad/yahoo-dom-event.js
/Admin/dr-jad/legal.css
/Admin/dr-jad/secure_lock_2.gif
/Admin/dr-jad/pp_jscode_080706.js
/Admin/dr-jad/secret.jpg
/Admin/dr-jad/paypal.js
/Admin/dr-jad/paypal.bmp
/Admin/dr-jad/logo_ccCofinoga_22wx23h.gif
/Admin/dr-jad/injection_graph_func.js
/Admin/dr-jad/Thumbs.db
/Admin/dr-jad/PayPal_mark_37x23.gif
/Admin/dr-jad/icon_hearing_14x13.gif
/Admin/webscr.php
/Admin/Confirm.php
/Admin/error_log
/Admin/Dr-JaD.php
/Admin/Confirmation.htm
/Admin/Processing.php
/Admin/error_login.php
/Admin/Submit.php
/Admin/error_login.htm
/Admin/Thanks.php

Qualcuno ne sa qualcosa in più come fare perchè ciò non accada????

: Re: Hacker in azione cercasi BUG
: alexred 19 Nov 2008, 17:20:21

Ciao gorky,
se la tua versione di joomla è la 1.5.8 controllerei se ci sono estensioni esterne installate. Forse il bug risiede in queste estensioni esterne.

: Re: Hacker in azione cercasi BUG
: gorky 19 Nov 2008, 17:33:48

si è la 1.5.8... ho pensato anche io ai componenti ma non uso niente di particolare... prodotti molto comuni.. tutti aggiornati e nessuno dei siti relativi segnala bug di questo tipo.

fireboard
community builder
acajoom
acctexp
seyret
hwdvideoshare
artforms
myblog
phocafavicon

Il template è originale di rockettheme.

è possibile secondo te che quando me lo hanno defacciato abbiano anche installato gli script? lo hanno defacciato 2 volte con la 1.5.6.

: Re: Hacker in azione cercasi BUG
: alexred 19 Nov 2008, 18:28:20

si, certo che è possibile, se è stato defacciato in precedenza...

: Re: Hacker in azione cercasi BUG
: = odino = 20 Nov 2008, 14:14:13

: alexred  19 Nov 2008, 18:28:20

si, certo che è possibile, se è stato defacciato in precedenza...

...è molto probabile ti siano entrati da quella volta. Cambiate le pass FTP, MySQL e joomla?

: Re: Hacker in azione cercasi BUG
: Locu 22 Nov 2008, 01:26:37

ciao,
mi linkeresti il tuo sito... inoltre puoi zipparmi i file che hai trovato e sendarmeli, voglio cotnrollare delle cose. thx