Salve a tutti, sono incappato in un malware 1 mese e mezzo fa, che iniettava del codice tra questi tag #c3284d#, in varie pagine dello Joomla (1.5.23). Ero riuscito ad eliminarlo, impostando i permessi 655 ai file principali.
Proprio oggi un altro malware mi ha iniettato del codice che richiama un iframe, e dalle date di modifica, ho visto che ha avuto accesso all'htaccess ed ha modificato le varie index.php/index.html
Mi potete dare qualche dritta a riguardo?
Grazie mille!
dovresti riuscire a capire quale plugin/content/thema è bucato, quindi aggiornarlo
è già un'ottima idea quella di disabilitare i permessi di scrittura (e solitamente funziona) quindi prova a cercare quali file vengono modificati mediante l'uso dei vari componenti.
Ovvio che ill tutto dipende dalla complessità del sito.
Assicurati che TUTTI i componenti siano aggiornati, se molto vecchi rimuovili o diabilitali temporaneamente e monitora la situazione.
Prova a pensare anche ad un upgrade di tutto il sistema
If you think your users are idiots, only idiots will use it. DropBox
Ok, ho ripulito con il backup che avevo e aggiornato all'ultima versione possibile (1.5.2.6). Una domanda
ho visto che non solo Joomla, ma anche un'altra cartella a parte, con dei file html/php ed una di xoops sono stati intaccati, è possibile che la falla non c'entri niente con Joomla, ma sia ad un livello superiore? Oppure tramite il buco di joomla, il malware riesce ad estendersi?
è tutto possibile
If you think your users are idiots, only idiots will use it. DropBox
Niente di fatto. Nonostante la pulizia è riapparso in maniera leggermente differente, questa volta infettandomi solo i file index sparsi per lo joomla. Se può essere di aiuto questo è il link relativo al tipo di malware: http://labs.sucuri.net/db/malware/ma...-mwiframehd371
Ho controllato il database è candido. Non è stato per niente intaccato..aiutooo!!!! Non ne riesco a venire a capo!!!!
se sono degli index statici, quindi non aggiornabili dinamicamente, imposta solo permessi di lettura. Puoi farlo dal pannello di controllo del tuo provider.
If you think your users are idiots, only idiots will use it. DropBox
Eh no in realtà intacca anche gli index.php
potresti pensare ad una migrazione verso una versione superiore e se nn ti è congeniale allora assicurati che non sia "colpa" del server (che sia ben configurato) e che tutti i moduli componenti, plugin, themi, siano aggiornati e non bucabili. Diversamente non ne esci
If you think your users are idiots, only idiots will use it. DropBox
Ecco volevo capire una cosa, l'unico modo di individuare falle nei componenti è di provarli uno alla volta oppure ci sono dei tool tipo Joomscan per verificarle?
joomscan è una strada, non ricordo il nome di un altro toollo scopo è il medesimo
è utile accertarsi della versione dei vari componenti e verificare l'esistenza di aggiornamenti, eliminare\sostituire quelli non più seguiti o cmq assicurasci che non diano rogne.
If you think your users are idiots, only idiots will use it. DropBox
Permessi di invio
Rispondi quotando