+ Rispondi alla Discussione
Risultati da 1 a 8 di 8

Sito joomla hackerato

Ultimo Messaggio di Juanin il:
  1. #1
    User L'avatar di Kuna
    Data Registrazione
    Aug 2009
    Messaggi
    73

    Sito joomla hackerato

    Ho un problema di hackeraggio su un sito joomla. E' un problema di cloaking infatti lo script iniettato fa vedere il sito normale da browser ma per i motori fa un redirect su un sito hot tra l'altro non pi funzionate. Chiaramente il sito risulta indicizzato con il nome del sito hot.

    Non essendo un programmatore joomla ed avendo scaricato tutto il sito come faccio ad individuare velocemente dove togliere questo script. Con il cerca nel codice di tutte le pagine non ho trovato niente cercando l'url del redirect oppure la stringa http_user_agent.

    Credo comunque di aver individuato il plugin che ha creato il problema e l'ho rimosso (risultava infetto) ma purtroppo non ha fatto sparire il problema.

    Qualcuno mi sa aiutare?

  2. #2
    Moderatore L'avatar di Juanin
    Data Registrazione
    Nov 2006
    Localit
    Bologna
    Messaggi
    4,550
    Segui Juanin su Twitter Aggiungi Juanin su Google+ Aggiungi Juanin su Facebook Aggiungi Juanin su Linkedin Visita il canale Youtube di Juanin
    Prova a fare una ricerca di funzioni come exec o base64.

  3. #3
    User L'avatar di Kuna
    Data Registrazione
    Aug 2009
    Messaggi
    73
    Mi sono accorto ora che praticamente fa la stessa cosa per qualsiasi pagina. Ho provato a fare una test.php e lo fa anche con questa. Addirittura lo fa anche con pagine 404 quindi presumo che il problema sia nel file .htaccess ma purtroppo non me lo hanno mandato e chi fa da tramite non ancora riuscito ad inviarlo. Potrebbe essere comunque nel file .htaccess?

  4. #4
    User
    Data Registrazione
    Sep 2008
    Messaggi
    18
    Scarica dal sito di joomla.org un'installazione pulita e copia il file .htaccess al posto di quello corrotto. Ricordati che dovrai rinominare il file da htaccess in .htaccess.

    Fai una copia del file originale perch se sono state fatte delle integrazioni particolari dovrai ricaricarle.

    Ciao.
    Fabio Zinesi - www.gcode.it - www.in4tek.it

  5. #5
    User
    Data Registrazione
    Sep 2008
    Messaggi
    18
    Oppure modifica il file esistente con questo contenuto:

    ##
    # @package Joomla
    # @copyright Copyright (C) 2005 - 2013 Open Source Matters. All rights reserved.
    # @license GNU General Public License version 2 or later; see LICENSE.txt
    ##


    ##
    # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
    #
    # The line just below this section: 'Options +FollowSymLinks' may cause problems
    # with some server configurations. It is required for use of mod_rewrite, but may already
    # be set by your server administrator in a way that dissallows changing it in
    # your .htaccess file. If using it causes your server to error out, comment it out (add # to
    # beginning of line), reload your site in your browser and test your sef url's. If they work,
    # it has been set by your server administrator and you do not need it set here.
    ##


    ## Can be commented out if causes errors, see notes above.
    Options +FollowSymLinks


    ## Mod_rewrite in use.


    RewriteEngine On


    ## Begin - Rewrite rules to block out some common exploits.
    # If you experience problems on your site block out the operations listed below
    # This attempts to block the most common type of exploit `attempts` to Joomla!
    #
    # Block out any script trying to base64_encode data within the URL.
    RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
    # Block out any script that includes a <script> tag in URL.
    RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
    # Block out any script trying to set a PHP GLOBALS variable via URL.
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Block out any script trying to modify a _REQUEST variable via URL.
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # Return 403 Forbidden header and show the content of the root homepage
    RewriteRule .* index.php [F]
    #
    ## End - Rewrite rules to block out some common exploits.


    ## Begin - Custom redirects
    #
    # If you need to redirect some pages, or set a canonical non-www to
    # www redirect (or vice versa), place that code here. Ensure those
    # redirects use the correct RewriteRule syntax and the [R=301,L] flags.
    #
    ## End - Custom redirects


    ##
    # Uncomment following line if your webserver's URL
    # is not directly related to physical file paths.
    # Update Your Joomla! Directory (just / for root).
    ##


    # RewriteBase /


    ## Begin - Joomla! core SEF Section.
    #
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    #
    # If the requested path and file is not /index.php and the request
    # has not already been internally rewritten to the index.php script
    RewriteCond %{REQUEST_URI} !^/index\.php
    # and the request is for something within the component folder,
    # or for the site root, or for an extensionless URL, or the
    # requested URL ends with one of the listed extensions
    RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
    # and the requested path and file doesn't directly match a physical file
    RewriteCond %{REQUEST_FILENAME} !-f
    # and the requested path and file doesn't directly match a physical folder
    RewriteCond %{REQUEST_FILENAME} !-d
    # internally rewrite the request to the index.php script
    RewriteRule .* index.php [L]
    #
    ## End - Joomla! core SEF Section.
    Fabio Zinesi - www.gcode.it - www.in4tek.it

  6. #6
    Moderatore L'avatar di Juanin
    Data Registrazione
    Nov 2006
    Localit
    Bologna
    Messaggi
    4,550
    Segui Juanin su Twitter Aggiungi Juanin su Google+ Aggiungi Juanin su Facebook Aggiungi Juanin su Linkedin Visita il canale Youtube di Juanin
    Se l'inject su tutte le pagine in automatico molto probabilmente sei stato hackerato a livello pi profondo e potrebbe essere opportuno identificare la falla a livello di Apache.

  7. #7
    User L'avatar di Kuna
    Data Registrazione
    Aug 2009
    Messaggi
    73
    Grazie a tutti. Sembra risolto con la sostituzione del file .htaccess purtroppo non sono riuscito a vedere il file hackerato (non chiedetemi perch) ma avevamo il gestore dello spazio web che non ci ha mai dato ftp funzionanti e ci ha costretti a forza di prove a mandare noi i file e farli pubblicare senza mai farci neanche vedere quello hackerato.
    Adesso sembra funzionare tutto e speriamo che la falla sia stata nel plug-in che abbiamo rimosso. Che fatica per quando hai a che fare con chi non sa fare neanche le cose pi banali del proprio lavoro.

  8. #8
    Moderatore L'avatar di Juanin
    Data Registrazione
    Nov 2006
    Localit
    Bologna
    Messaggi
    4,550
    Segui Juanin su Twitter Aggiungi Juanin su Google+ Aggiungi Juanin su Facebook Aggiungi Juanin su Linkedin Visita il canale Youtube di Juanin
    Il gestore dello spazio web non tenuto a conoscere tutti i CMS e codici del mondo.

    Il problema di chi usa CMS di terze parti senza conoscerli profondamente.

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] Attivato
  • Il codice [VIDEO] Attivato
  • Il codice HTML Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.