Autore Topic: violazione siti  (Letto 1943 volte)

Offline acquaal2

  • Esploratore
  • **
  • Post: 64
  • Sesso: Maschio
    • Mostra profilo
violazione siti
« il: 18 Mar 2009, 16:32:51 »
ci sono appena entrati tramite un sito sul server e hanno installato una marea di file similari a questo:<?php
if (!function_exists("myshellexec"))
{
cutttoneeeeeee
 if (!empty($letters)) {echo "Detected drives: ".$letters."
";}
}
if (count($quicklaunch) >
« Ultima modifica: 27 Mar 2009, 11:52:39 da 56francesco »

Offline r-evolving

  • Appassionato
  • ***
  • Post: 362
  • Sesso: Maschio
    • Mostra profilo
Re: violazione siti
« Risposta #1 il: 18 Mar 2009, 17:05:49 »
ciao acquaal2.  :-\

In due parole: hanno fatto un (tristemente) classico upload di uno script che di fatto mette apre una shell su apache.

A parte il codice che hai incollato il tuo messaggio è un po' sintetico.
Citazione
ci sono appena entrati tramite un sito sul server e hanno installato una marea di file

Immaginiamo una richiesta implicita tipo "e adesso che facciamo?".
Che versione di Joomla è? Ooops.. era?
Componenti e relative versioni istallate?
Hai un backup di tutto?
Hai avvisato il tuo provider?
Paolo
"I don't have a photograph, but you can have my footprints. They're upstairs in my socks"

Offline acquaal2

  • Esploratore
  • **
  • Post: 64
  • Sesso: Maschio
    • Mostra profilo
Re: violazione siti
« Risposta #2 il: 18 Mar 2009, 18:57:16 »
scusa, ma dalla rabbia mi sono dimenticato i particolari, la versione è la 1.5.8, ho appena scritto al provider, il back è stato fatto ma penso che comprenda la violazione (ieri sera alle 21.00), ho appena fatto l'up grade alla versione .9, su questo server avevamo (sig...) 12 siti, dei quali 10 con versione 1.5.9 uno con la 1.0.15 e uno con la 1.5.8, questi ultimi erano solo di supporto.

Offline r-evolving

  • Appassionato
  • ***
  • Post: 362
  • Sesso: Maschio
    • Mostra profilo
Re: violazione siti
« Risposta #3 il: 18 Mar 2009, 19:05:19 »
E prima dei quel back-up delle 21:00, proprio mai mai mai?
Magari ce li ha il provider?
Paolo
"I don't have a photograph, but you can have my footprints. They're upstairs in my socks"

Offline acquaal2

  • Esploratore
  • **
  • Post: 64
  • Sesso: Maschio
    • Mostra profilo
Re: violazione siti
« Risposta #4 il: 18 Mar 2009, 19:29:26 »
PURTROPPO OGNI BACK SOVRASCRIVE.MA NON RIESCO ANCORA A CAPIRE DA DOVE SONO ENTRATI.

Offline r-evolving

  • Appassionato
  • ***
  • Post: 362
  • Sesso: Maschio
    • Mostra profilo
Re: violazione siti
« Risposta #5 il: 18 Mar 2009, 22:37:34 »
PURTROPPO OGNI BACK SOVRASCRIVE

Facile infierire ora ma.. male, molto male. Almeno 3 roll-back bisognerbbe assicurarli

Citazione
.MA NON RIESCO ANCORA A CAPIRE DA DOVE SONO ENTRATI.

La 1.5.9 è stata rilasciata perchè la 1.5.8 aveva delle vulnerabilità.
Il tuo hoster ti può aiutare tramite i log di Apache sul resto
Paolo
"I don't have a photograph, but you can have my footprints. They're upstairs in my socks"

 

Host

Torna su