Clusit-Associazione Italiana per la Sicurezza Informatica
Il mio profilo su Linkedin
Il mio spazio su YouTube
Joomla Italia
Il mio profilo su vololibero.net
 
Album Picasa
 
Google, Joomla e p3p0.com said PDF Stampa E-mail
Non solo Joomla
Mercoledì 03 Febbraio 2010 22:48
attacco google redirectVi è mai capitato di cercare un sito su google e cliccando sul link di venire ricondotti a p3p0.com/?said ??? Magari proprio il vostro sito! Magari proprio Joomla!
Eh si, siete stati vittima dell'hackerotto di turno, scopo e rimedi?
EDIT -> Questo articolo può quasi considerarsi obsoleto e trova aggiornamento quì
Non vi preoccupate la soluzione è semplice e Google non centra nulla, semplicemente vi hanno iniettato del banale php che intercetta il referrer e se è Google, Bing, Virgilio etc... vi rediretta su quel sito.
Scopo? ... boh, solito trojan, proposte di scansion antivirus... è 20 anni che si vede sta cosa... gromozon?! bah! e ri-bah..

Comunque... rimedio, semplice!
Scaricate il pacchetto joomla possibilmente della versione in uso da voi, unzippatela e copiate il file "define.php" contenuto nella cartella "includes" nella stessa posizione in remoto al posto del suo omonimo,  che vi consiglio prima di cancellare onde evitare un aggiornamento invece di una sovrascrittura.
Se siete coscienti di ciò che fate.... fate un po' come volete.

[EDIT] Volevo precisare una cosa: è ovvio che se sono riusciti a scrivere nel file define è perchè hanno sfruttato una vulnerabilità e se hanno sfruttato una vulnerabilità vuol dire che il vostro Joomla core o le addons non sono aggiornate... fatelo! Altrimenti dopo un paio di giorni lo scherzo si ripete.

Leggete anche: Ripristinare il sito dopo un attacco attacco hacker
 

Commenti  

 
#1 Alessio Dalla Piazza 2010-02-28 20:31
Si però questo non deve essere possibile ;)
Anche il mio wordpress è stato attaccato ed avevo l'ultima versione 2.9.2 è che c...o wordpress support ? null ...
Spero adesso che quelli di netsons mi passino i log .. per capire che falla ha sfruttato e segnalare il tutto speriamo bene ;)

Avevo parlato di questo qui:
www.clshack.it/cronaca-di-un-attacco
Citazione
 
 
#2 Jordan 2010-03-10 10:52
Gentilissimo, grazie dell' aiuto, il tuo consiglio funziona su uno dei miei siti www.cockerilla.com che aveva subito l'attacco suddetto ma ne il team di Google, di Joomla che il mio provider TOPHOST mi hanno saputo dare una soluzione. Grazie infinite.
Citazione
 
 
#3 Maurizio 2010-03-10 12:30
Bene, sono contento, anche perchè ho visitato il tuo sito e merita il posto che ha :)
Ricorda che lo scopo è comunque la trasmissione di un malware, per cui tieni aggiornati gli AV e fai una bella scansione.
Comunque anche su Joomla.it abbiamo un 3d su qs argomento
forum.joomla.it/index.php/topic,93532.0.html
bye M.
Citazione
 
 
#4 Michele 2010-03-11 22:42
Ottima soluzione
Citazione
 
 
#5 patrizia 2010-04-27 20:35
grazie!!!!!!
Citazione
 
 
#6 Danilo 2010-04-28 18:30
Grazie davvero per il servizio di informazione che rendi alla comunità cibernetica italiana...questa è la rete che vogliamo, una rete fatta di sana ed utile informazione, dove ci sia posto solo per chi con duro lavoro rende un servizio alla società. E non questa massa enorme di spam e di sotterfuggi furbeschi a danno della sana culture ed informazione...Dio ti Benedica
Citazione
 
 
#7 giuseppe 2010-06-29 09:19
oltre a controllare il file defines.php nella cartella includes, controllate il vostro .htaccess
Citazione
 
 
Questo sito è dedicato alla mia ed altrui curiosità, come primordiale bisogno di conoscere, capire nella sua complessità ogni cosa. Questo sito è basato sul framework Joomla1.5.xx!. Ogni contenuto o script pubblicato è di libera consultazione e duplicazione purchè se ne citi la fonte. Clicca qui per votare