Autore Topic: accedendo al sito da google vengo reindirizzato su un sito segnalato malevolo  (Letto 21428 volte)

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
calma, conoscete il principio "Occam's razor"? (lasciate da parte le interpretazioni da telefilm...)

mandami un link, via PM, al file di log del giorno in cui SICURAMENTE è avvenuto l'hack, e vediamo in che è successo.

immagino che anche maurizio sia curioso :D

ps: l'hack, quando riesce, non genera errori :(

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
GET /foto/ultime-aggiunte.html?func=detail&id=1499

questa è appunto una normale richiesta get, ma può anche essere post (nel qual caso nn ricordo come e se logga)

siccome deve essere iniettata una var troverai cose strane dove c'è = a qualcosa

func=possibile_riga_iniezione&id=possibile_riga_iniezione

Veramente strano che tu nn abbia nulla sul pc, come ti dicevo, da quella scansione su anubis risultavano molte cose manipolate su un browser..

Disinstallare non so se serva qualcosa... non sono molto pratico di windows

M.


si scusa... ho cliccato perchè ormai avevo scritto ma segui Marco :) che sei in buone mani anche se dubito ci sia qualcosa nei log se è il tipo di attacco che ti ho segnalato, quando è successo a me ...nessun log :)

cmq si sono sempre curioso ...
« Ultima modifica: 27 Set 2010, 23:15:20 da mau_develop »

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
manu_develop,
mi sono espresso male, l'antivirus ha torvato:
numero di infiltrazioni : 226
si torvano tutte in c:\user\marco\AppData\roaming\m
mi dice che sono tutti: win32/bagle. Un worm - era un worm parte di un ogetto eliminato

nel post di prima mi rallegravo dato che per fortuna per fare l'attacco broswer in the middle sfruttando il facebook connect, c'è bisogno che si instalalto un trojan sul pc di chi ha accesso provilegiato al sito, quindi difenendo al massimo il mio pc, l'estensione facebook connect non dovrebbe essere pericolosa, o ho capito male?

marco ti ho inviato via pm il link allo zip del file di log davvero tante grazie per la disponibilità ad aiutarmi a spulciarlo.

E grazie mille a tutti e due per l'enorme aiuto che mi state donando, sono anche io molto curioso di sapere come sono entrati.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
ovviamente senza avere accesso alla macchina è difficile capire che sia successo, ma nel log vi è qualcosa che non quadra:

67.91.190.165 - - [25/Sep/2010:07:34:45 +0200] "POST /includes/post.php HTTP/1.1" 200 2015 "none" ""

questo file non è di joomla... possibile, ma improbabile, felice di sbagliarmi, che sia stato installato da qualche estensione... me lo mandi?

ciao,
marco

ps: la caccia all'hacker è un lavoro lungo...  :(

ps2: è lungo... questo è solo un colpo d'occhio...
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
:) quello dovrebbe essere uno...

67.91.190.165

OrgName:        XO Communications
OrgId:          XOXO
Address:        13865 Sunrise Valley Drive
City:           Herdon
StateProv:      VA
PostalCode:     20171
Country:        US
RegDate:       
Updated:        2008-01-14
Ref:            http://whois.arin.net/rest/org/XOXO

ReferralServer: rwhois://rwhois.eng.xo.com:4321/

M.

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
Wow davvero complimenti  :D sei riuscito a trovare l'ago nel pagliaio!

Citazione
la caccia all'hacker è un lavoro lungo...
bè però direi soddisfacente, se fossi riuscito a torvare io quella linea di codice sarei stato felice per na settimana XD

Citazione
67.91.190.165

OrgName:        XO Communications
l'hacker dunque si trova negli stati uniti ed utilizza la XO come providers
Citazione
Comment:        Please report spam and viruses to abuse@xo.net
fonte http://whois.domaintools.com/67.91.190.165
Posso mica chiedere alla xò di mandarmi i log di attività di quell'utente verso il mio sito, così viene a galla come ha fatto?

Grazie mille ancora!

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
one shot, one kill!  ;D

Codice: [Seleziona]
<?php
eval (base64_decode([color=red]XXXcensured![/color]));
?>


e questo è il nostro cavallo di troia: ecco da dove sono entrati.

è quasi scontato che ce ne siano altri, segui la procedura che ti avevo inviato per PM.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
controllando da dei backup quel file è presente già da luglio!
Chissà perchè ce lo avevano messo senza mai usarlo.

Thank you  ;D

Offline Blasco

  • Nuovo arrivato
  • *
  • Post: 2
    • Mostra profilo
Salve, credo di avere il medesimo problema che avete trattato in questo topic.

il mio sito www.dolphinstuningclub.it l'ho sempre tenuto aggiornato man mano che sono state pubblicate le varie versioni di joomla, ma mi ritrovo ugualmente con questo problema.

Ho provato diversi dei vostri consigli, ma ancora non riesco a trovare una soluzione ed accedendo al sito da google vengo reindirizzato altrove, ovviamente, scrivendo direttamente l'indirizzo nella barra tutto sembra ok.

Ho fatto la scansione con Anubi, ma non sono in grado di interpretare come si deve i dati di log.

C'è qualcuno che riesce a darmi una mano? Nel caso ditemi di quali dati avete bisogno.

Grazie in anticipo per la disponibilità.


Valentino

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
Ho provato ad accedervi tranite google ma visualizza correttamente il sito.

Comunque non basta tenere aggiornato joomla ma anche tutte le sue estenzioni.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
ed accedendo al sito da google vengo reindirizzato altrove
Valentino

ad esempio dove?  ci mandi il link della pagina dove arriveresti?
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline campobass

  • Nuovo arrivato
  • *
  • Post: 7
    • Mostra profilo
Salve sono il prof. Gianni anch'io ho avuto lo stesso problema e ho ripulito tutto il codice. Ma la mia domanda è come posso prevenire gli attacchi? Dal file di log pare che l'attacco sql injection sia stato fatto su joomlapack 2.1 b1. Qualcuno sà aiutarmi?

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Citazione
Ma la mia domanda è come posso prevenire gli attacchi?
io eviterei in partenza una gara a chi tiene il kungfu più tosto..
fai le copie del sito e conservarle in luogo sicuro e se sei su un server condiviso avvisa sempre l'assistenza hosting dell'accaduto, ti risponderanno sempre che non c'entrano niente loro ma avvisali lo stesso.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.


 

Host

Torna su