Virus: index.php modificato

[giovapd]

Ciao a tutti
è gia la seconda volta che mi succede
mi sono trovato l'index di un sito modificato con una valanga di codice indecifrabile che comincia così:

Codice: [Seleziona]

joomla <?php ob_start('security_update'); function security_update($buffer)
me ne sono accorto perchè accedendo con explorer mi dava rischio virus.

a voi è capitato?

quale puo essere il problema?

grazie

[56francesco]

puoi specificare la versione di joomla e indicare un link al sito?

[giovapd]

la versione è 1.5.14 per quanto riguarda il link posso dartelo in PM perchè mi è stata fatta richiesta di non pubblicarlo

Grazie

[56francesco]

aggiornare.. aggiornare.. aggiornare..
siamo alla 1.5.15

il link fa niente, ma probabilmente tieni il solito contatore di visite o qualche altro servizio esterno installato, toglili ed avvisa/chiedi alla assistenza hosting..

poi fai le copie e ripulisci i files dalla monnezza che gli spammers ci hanno messo..
cambia tutte le credenziali di accesso database ed ftp comprese e ricarica tutto..
aspetta anche la risposta della assistenza loro possono sapere o vedere di più, anzi tutto.
auguri..

[mau_develop]

...però siete ***....

Se leggete in questa sezione TUTTI i problemi sono generati da

- versione core NON aggiornata
- addons con versioni datatissime e mai più aggiornate

Non cercate strani perchè, non siete vittime del mondo malvagio, siete vittime della vostra poca cura di un'importante strumento quale un sito internet.

ovviamente qs discorso non è direttamente rivolto a giovapd ma è una semplice riflessione dopo essermi spulciato un po' tutta qs sezione.

C'è anche un altro punto comune: quando alla fine si ripristina il tutto sorge quasi naturale il bisogno di installare tool di difesa.

I tool di difesa non servono assolutamente a nulla ad un normale user, anzi rischiano di introdurre ulteriori vulnerabilità.
Per installare uno qualsiasi di qs pacchetti bisogna essere un'attimino più "avanzati".
Capire su cosa e dove vanno ad operare e se l'ambiente in cui sono ospitati e runnati è in grado di lavorare in cooperazione.

Joomla non si buca col brute force e nemmeno con le blindsql, gli attacchi sono molto più complicati e coinvolgono le api, il dom, la coabitazione con sw vulnerabili e la configurazione della macchina.
Discorso non valido per le extension, ma Joomla non si carica di qs responsabilità.

M.

[giovapd]

avete ragione sul fatto che devo aggiornare pero ci tengo a sottolineare che 3 gg fa lo stesso identico problema ce l'ho avuto sulla .15 !!

[ste]

...però siete ***....

Queste espressioni non sono gradite sul forum di Joomla.it
mau_develop, ti ho inviato un messaggio privato.

[mau_develop]

Queste espressioni non sono gradite sul forum di Joomla.it
----------------------------------------------------------

sorry.

interpretate l'espressione come "mi sono stancato di leggere sempre le stesse storie"


3 gg fa lo stesso identico problema ce l'ho avuto sulla .15 !!
----------------------------------------------------------------
.. vedi... anche questo non è possibile se avevi tutte le addons aggiornate, oppure sono passati dal server, oppure hanno scelto te come prima persona su cui sperimentare un priv8 Joomla

M.

[lorixmod]

Queste espressioni non sono gradite sul forum di Joomla.it
----------------------------------------------------------

3 gg fa lo stesso identico problema ce l'ho avuto sulla .15 !!

Se sei su Hosting Linux (XXXXX-Deleted)  è in atto un attacco su larga scala non dipende da Joombla sfruttano qualche buco FTP su oltre 40 domini che ho con loro ho trovato il codice ovunque anche in quelli appena attivati dove è presente il solo index.php inserito da loro. Quindi non è un problema di Joomla... Anche altri provider potrebbero avere un problema analogo, se si tratta di un exploit nuovo.

[mmleoni]

  lorixmod per cortesia rispetta le regole:

E' vietato inserire sul forum riferimenti a prodotti e servizi a pagamento e non Open Source.

modificare il nome per eludere il controllo non è un comportamento gradito.

btw: se i vari siti hanno lo stesso owner, una volta che ne hanno bucato uno, molto probabilmente, li hanno bucati tutti.

ciao,
marco

[lorixmod]

lorixmod per cortesia rispetta le regole:
E' vietato inserire sul forum riferimenti a prodotti e servizi a pagamento e non Open Source.

Mi scuso visto che se giungo qui arrivo da Google e non mi leggo di norma i regolamenti dei forum, soprattutto quando non li posso condividere.

Il software OPEN SOURGE come il software GNU/GPL non è sempre GRATIS...

Free in inglese va tradotto come LIBERO e non come GRATIS

Questa politica creata da una confusione non permette soluzioni valide a problemi comuni, quando queste giungono da componenti GNU/GPL rilasciati dietro abbonamento o compenso.
E in tuttti i casi molte volte qualcosa a pagamento può sempre essere utile e pure d'ispirazione... e non vendo nulla di male a contribuire a un qualsiasi progetto con denaro ove, e non solo con volontariato.

[56francesco]

lorixmod  non c'entra niente quello che dici.

la scelta di non supportare e di non accettare riferimenti a  prodotti e servizi commerciali e a software non open source ha ben altre solide ragioni e motivazioni,   se necessario te lo spiegheremo in tanti e ciascuno di noi magari aggiungerà motivazioni diverse e validissime,  spero non sia necessario anche perchè è un argomento trattato più volte nel forum.

 

[lorixmod]

lorixmod  non c'entra niente quello che dici.

la scelta di non supportare e di non accettare riferimenti a  prodotti e servizi commerciali e a software non open source ha ben altre solide ragioni e motivazioni,   se necessario te lo spiegheremo in tanti e ciascuno di noi magari aggiungerà motivazioni diverse e validissime,  spero non sia necessario anche perchè è un argomento trattato più volte nel forum.

Gurdare la data del post no...  pesciolino d'Aprile!
Comunque open source va benissimo, anche quello a pagamento però come su http://www.joomla.org/