Sito defacciato

[Barabambaui]

Salve, come saprete non sono un esperto che ha studiato ecc, sono solo un appassionato e mi affido ai cms (nel mio caso joomla).
Tuttavia, il mio sito ieri è stato defacciato per la seconda volta in un mese e non so proprio da dove passano. al momento ho cancellato un uploader di immagini in .swf di un componente, perchè in quella cartella ho trovato una shell, ma non so se era questa la falla...
ad ogni modo passo a chiedervi quello che volevo. Ho riscaricato tutto il mio sito sul pc, in modo che avira mi segnalasse tutte le shell e programmi dannosi che mi ha messo l'hacker, tuttavia ho notato che mi sono state uppate anche altre schifezze. in 4 cartelle sparpagliate nel mio sito mi è stato uppato questo http://www.mediafire.com/download/tz3fsymytdf065i/x.zip

avira non me li segna come files dannosi questi, quindi vorrei capire bene che cosa siano ma più importante, se quei files necessitano di un collegamento al database e quindi se sono stato infettato anche lì, perchè da un primo controllo sembra tutto ok.... so che può essere una richiesta assurda ma non saprei che fare... se non ve la sentite ovviamente vi capisco, ma ringrazio se ci sarà qualcuno abbastanza temerario da darmi una mano...

[longilineo]

chiedi a chi ti offre il servizio di hosting di ripristinare il sistema a quando non c'era il problema. Poi cambia tutte le password di accesso (ftp, database, pannello di controllo, ecc.).

[Alhazred]

Ricorda anche che il problema potrebbe non essere il tuo sito, ma altri siti ospitati sul tuo stesso server che hanno gravi vulnerabilità.
L'hacker/cracker/lamer o chi che sia, potrebbe attaccare un sito vulnerabile che si trova sul tuo server e da lì infettare dall'interno anche gli altri siti, senza dover passare da ftp e senza dover conoscere password.

A chi ti fornisce il servizio notifica il fatto di continue infezioni e chiedi di verificare che non ce ne siano altre sparse sul server che ospita il tuo sito.

[cris.calleo]

É possibile che usi un template "pirata"? Generalmente questi sono messi in rete oportunamente modificati in modo da poter creare delle falle e uppare files infetti.

[Alhazred]

Aggiungo: che versione di Joomla usi? Tienilo sempre aggiornato all'ultima versione disponibile.
Se usi una versione molto vecchia e non più supportata, tipo la 1.7 o precedenti, valuta la possibilità di migrare verso una nuova versione, perché eventuali nuovi bug e falle che vengono trovati non sono più corretti.

Tieni sempre aggiornati anche tutte le estensioni che usi e cerca di usare estensioni ben note e diffuse, quelle poco usate sono generalmente anche poco seguiti dagli sviluppatori, che quindi non correggono eventuali vulnerabilità limitandosi (se va bene) a sistemare i bug.

[Barabambaui]

Ciao ragazzi, ovviamente ho sempre fatto tutto quello che mi avete detto, ho l'ultima versione (la 3.0.11), tutto aggiornato, ecc ecc.
Più precisamente, mi ritrovo con due shell, una qui administrator/components/com_content
e una qui administrator/components/com_contushdvideoshare/images/uploads


Ora, quale delle due cartelle rappresenta la falla? com_content è un file originale di joomla...

Cercando su google mi sono accorto che non sono solo io, ho cercato inurl:"com_contushdvideoshare"
ed ho trovato molti siti con shell nelle stesse cartelle...

Per la cronaca mi hanno defacciato anche stamattina... E questa volta hanno pure messo un frame per cliccare mi piace alla loro pagina facebook... -.-''
è questa https://www.facebook.com/funny.pics.by.iss

[Barabambaui]

Due giorni fa è uscita la nuova versione di joomla che risolve una falla critica che permetteva alla gente di poter uppare file .php.
A quanto pare allora il problema era proprio joomla, non le estensioni...

[wartpro]

Che pessimo cms

[arkus]

ciao Barabambaui,
per curiosità.....permetteva l'upoload attraverso cosa?
E' presente una form pubblica attraverso la quale si può effettuare l'upload?

[Barabambaui]

Non saprei, tutto ciò che so è che in qualche modo riuscivano ad uppare file .php anche senza permessi ed è una falla di sicurezza che affliggeva tutte le versioni di joomla, dalla 1.5 alla 3.

http://secunia.com/advisories/54326/

Qui dice tutto quello che so ed è il link che spiega di più, sul sito ufficiale di joomla non spiegano molto....