Autore Topic: Files modificati di continuo da Crackers.  (Letto 2586 volte)

Offline donpablos

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Files modificati di continuo da Crackers.
« il: 06 Feb 2009, 14:33:06 »
Salve,
di recente ho subito continui attacchi con exploit sul sito con joomla 1.5.9 dopo aver quindi aggiornato tutto il possibile alle ultime versioni, ho continuato a subire modifiche nella index del template, cosicchè sto pensando anche di cambiare template.

Nel frattempo però ho fatto girare ogni ora, uno script sul server che mi avverte di eventuali modifiche eseguite su alcuni files nell'ultima ora, in questo modo sono sempre al corrente dei files modificati da malintenzionati.

Nelle ultime notifiche di questo script ho trovato il file "core" di circa 16 Mb, presente nella root di joomla 1.5

Volevo chiedervi se potete informarmi di cosa si occupa questo file, se appunto le modifiche subite sono affidabili cioè generate dal motore di joomla o sono state effettuate da altri.

Grazie.
« Ultima modifica: 07 Feb 2009, 04:49:14 da emgent »

Offline foxhy

  • Esploratore
  • **
  • Post: 128
  • Sesso: Maschio
    • Mostra profilo
Re: Files modificati di continuo da hackers
« Risposta #1 il: 06 Feb 2009, 16:12:40 »
Ciao anche il mio index del template viene sempre modificato nonostante ho effettuato tutti gli aggiornamenti possibili (core joomla, moduli, componenti). Ho persino settato l'index del template con permessi 444.

 ??? Noto anche io nella root il file "core" ???

Portale dei frantoi e dell'olio extravergine di oliva

Offline .anter

  • Esploratore
  • **
  • Post: 60
  • Sesso: Maschio
    • Mostra profilo
Re: Files modificati di continuo da hackers
« Risposta #2 il: 06 Feb 2009, 17:49:16 »
Ciao, a me questo file core non risulta... perchè non provate a toglierlo per verificare  ??? ???

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Files modificati di continuo da Crackers.
« Risposta #3 il: 07 Feb 2009, 04:51:20 »
Salve,
di recente ho subito continui attacchi con exploit sul sito con joomla 1.5.9 dopo aver quindi aggiornato tutto il possibile alle ultime versioni, ho continuato a subire modifiche nella index del template, cosicchè sto pensando anche di cambiare template.

Nel frattempo però ho fatto girare ogni ora, uno script sul server che mi avverte di eventuali modifiche eseguite su alcuni files nell'ultima ora, in questo modo sono sempre al corrente dei files modificati da malintenzionati.

Nelle ultime notifiche di questo script ho trovato il file "core" di circa 16 Mb, presente nella root di joomla 1.5

Volevo chiedervi se potete informarmi di cosa si occupa questo file, se appunto le modifiche subite sono affidabili cioè generate dal motore di joomla o sono state effettuate da altri.

Grazie.

Mi son permesso di modificare il titolo del thread visto che la parola "Hacker" non e` consona al contenuto.

Comunque, non basta controllare la documentroot, fossi in te farei un check piu` a basso livello. Non so se il server e` dedicato/virtuale o se sei semplicemente in hosting, ma non mi fermerei alla directory web, ci sono molti luoghi dove e` possibile depositare materiale malevolo per poi richiamarlo a piacimento.

Comunque, se vuoi maggiori informazioni non esitare a contattarmi via skype (emanuele.gentili).

Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

Offline foxhy

  • Esploratore
  • **
  • Post: 128
  • Sesso: Maschio
    • Mostra profilo
Re: Files modificati di continuo da Crackers.
« Risposta #4 il: 09 Feb 2009, 11:19:10 »
Ho fatto un controllo su altre installazioni joomla 1.x.x e 1.5 .x e il file senza estensione di nome "core" che nel mio caso è di circa 10Mb, non c'è. Di conseguenza l'ho eliminato.
Ma qualche amministratore esperto può illuminarmi su questo file!
Esiste nelle vostre installazioni?

NB. fate un controllo accurato anche su cartelle sospette che non hanno niente a che fare con la vostra installazione di joomla, magari sono cartelle vecchie non più utilizzate dove prima avevate script che vi servivano sul precedente sito non joomla.
Controllate anche file.php sospetti che risiedono nella root.
Personalmente ho identificato file strani da nomi apparentemente innocui come per esempio 1.php ecc.

Buona sicurezza a tutti!
« Ultima modifica: 09 Feb 2009, 11:26:12 da foxhy »

Portale dei frantoi e dell'olio extravergine di oliva

Offline donpablos

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re: Files modificati di continuo da Crackers.
« Risposta #5 il: 09 Feb 2009, 18:10:43 »
Si anch'io ho eliminato il file core (16 Mb). speriamo bene...

 

Host

Torna su