Salve a tutti... ormai dal 2007 lavoricchio con Joomla! e non mi era mai capitata una cosa del genere
non so se esserne infelice e cominciare a preoccuparmi, rimanere felice e "convivere" con questo problema o eliminare il problema col vostro aiuto e quindi essere felice
Ieri sera mentre ero al pc, mi sono accorto spulciando il db direttamente dal mysql che qualcuno era riuscito a mettere di recente 4 file .php all'interno di una cartella (per i dettagli mandatemi un messaggio privato perchè il problema non è ancora risolto). I primi due file erano dei backdoors (almeno cosi dice AVG dopo che ho preso i file e me li sono copiati sul desktop), poi c'era un altro file che, richiamandolo dal browser, permetteva di caricare qualsiasi file sulla cartella in cui risiedeva lo stesso... ed infine ho trovato un altro file php che mi ha messo davvero paura (sempre dopo averlo richiamato dal browser)... un vero e proprio programma che da' una miriade di informazioni sul sito e sul server e permette anche di svolgere azioni tipo upload e download di file... e non so quante altre cose visto che sono piuttosto complesse e non so dove metterci mano. Facendo una ricerca sul web ho notato che quest'ultimo file sembra abbastanza noto nel panorama di hacker e compagnia bella... per questo sono qui a chiedere una mano (dopo aver cercato sul forum e trovato solo discussioni di vecchia data). Il "programma" in questione si chiama
MagicCoder X70.01 firmato da un certo
GIF89aP;
Le funzioni che contiene sono queste:
:: Execute command on server ::
:: Edit files ::
:: Aliases ::
:: Find text in files ::
:: Search text in files via find ::
:: Eval PHP code ::
:: Upload files on server ::
:: Upload files from remote server ::
:: Download files from server ::
:: FTP ::
:: FTP-bruteforce ::
:: Mail ::
:: Databases ::
:: Net ::
Ciascuna ha dei parametri che possono essere settati e dei tasti per interagire.
Adesso, come già detto, io non sono un esperto su questo, però ho capito che hanno utilizzato i backdoors per eludere i controlli ed "installare" un semplice file che gli permettesse di fare l'upload... e da quello hanno caricato il MagicCoder per chissà quali scopi.
Qualcuno potrebbe darmi delle dritte? Come devo comportarmi? Il sito conta un bel po' di utenti iscritti... la quale vorrei salvaguardare i dati (anche se in realtà sono solo nomi utenti e mail... le password dovrebbero essere criptate... anche se credo sia un gioco da ragazzi decriptarle per chi è del mestiere).
Non installo nuovi componenti da oltre un anno, a parte AcyMailing (che non credo abbia falle visto che è abbastanza popolare come componente!!).
Attendo qualche risposta, consigli e per piacere non parlatemi in aramaico perchè gestire un sito in Joomla! non vuol dire conoscere necessariamente l'informatica dalle basi all'infinito
Walter
