Visualizzazione Stampabile
-
Vi posso solo dire che ancora non so che script hanno usato e la porta che hanno utilizzato, però per certo so che una volta lanciato si modificano tutti i file .php e .js contenuti nella root del server, sia quelli direttamente nella directory che quelli nelle sottocartelle, notando che questi ultimi sono i primi ad essere compromessi, indipendentemente che si tratti di joomla, WP o VB o plugin vari.
Altra cosa importante da fare è quella di controllare i permessi dei file nel server, magari con una giusta configurazione si evita alla base la vulnerabilità.
Nerl contesto di tutte le prove fatte ho impostato quasi tutto a 604, quando prima stavano a 705, e magari questo ha bloccato il problema alla base.
-
Bravo blackwolf76 stasera alla prima accensione tutto ok:up:
-
Citazione:
Originariamente Scritto da
Fabioo
no non ce nessun bridge e l'installazione di joomla è abbastanza pulita da plugin e schifezze varie, però se dovessero trovare una falla, girando sia joomla che vbulletin nella stessa document root con gli stessi permessi e soprattutto con lo stesso utente unix, se riescono a caricare uno script, non possono andare a modificare i file di vbulletin? :confused:
In effetti, questo è l'unico modo, salvo con l'accesso diretto di FTP. I WORM di "categoria" creano un proxy FTP via HTTP per ottenere l'accesso, ma hanno bisogno anche del username e password, che nella norma cercano di ricavare dalle proprie email, ma anche tramite keylogger e trojan.
-
Dopo aver ripulito i due siti in questione ed aver disattivato tutto quesllo che non fosse di base del VB sul server che sul sito, dopo un paio di gionri di funzionamento normale ho provato ad abilitare i plugin due alla volta diversi su ognuno dei forum e sorpresa... uno di essi si è impallato nuovamente. Salvo falsi allarmi ho scovato il plugin incrimanto... dovrebbe essere la vsa chatbox, ma non ho certezza matematica avendo avuto un solo riscontro. Ci vuole la prova del nove...;)
