[cpg1.4.x]: exploit attenzione e aiuto per risolverlo

[cattivix]

ciao ragazzi il giorno 23 aprile apro il mio sito e a malincuore vedo solo una piccola immagine di 1 pixel il alto a sinistra
nel frattempo mi segnala un mio amico che se uno visitava il mio sitogli scaricava a raffica dei virus o meglio trojan
ho segnalato il tutto ad aruba che mi fornisce lo spazio,nel frattempo ho scopeto csa è successo è stata inviata un file  immagine .jpeg che viene richamato da un cdice php ma la cosa pazzesca è che il codice è stato inserito in tutti i file con estensione .php sia all inizio che alla fine ! ho tentato di rimuoverli tutti in tutti i file ma per ora non va ancora,
ora mi chiedo se c'è una soluzione per rimettere tutto a posto,confidavo nel backup che aruba mi ha fatto attivare ma anche li tutti i file sono stati modificati !
non posto il codice per motivi di sicurezza prima che qualcuno potesse legegrlo e usarlo pero' se volete lo metto è un codice sempicissimo madevastante in tutto il server infatti io ho molte directory con altri script altri siti mi ha preso pure quelli imaginate il danno!
chiedo veramnete un aiuto per poter risolvere grazie ragazzi

[twist]

Beh se era una versione minore di 1.4.18 l'errore e' stato dalla tua parte, si sapeva che ci poteva essere l'injection del codice.
L'unica cosa che puoi fare e' rasare tutto e dico proprio "rm -rf" tenendo solo la cartella "albums" controllando che ci siano solo i jpg, e rimettere tutto d'accapo aggiornato ovviamente.

Poi ti consiglierei di mettere dei crontab per fare il backup giornaliero (potresti non aver accesso al crontab con aruba pero') sia del database che dell'intera gallleria.

In caso di altri exploit, ti basta ritornare alla versione "sana" del tuo backup.

[cattivix]

Beh se era una versione minore di 1.4.18 l'errore e' stato dalla tua parte, si sapeva che ci poteva essere l'injection del codice.
Si hai ragione tu su questo soo che tieni conto che è un sitoamatoriale e ultimamente ci ho dato poco tempo ad aggiornare
L'unica cosa che puoi fare e' rasare tutto e dico proprio "rm -rf" tenendo solo la cartella "albums" controllando che ci siano solo i jpg, e rimettere tutto d'accapo aggiornato ovviamente.
ok sto opernado propio in questo momento

Poi ti consiglierei di mettere dei crontab per fare il backup giornaliero (potresti non aver accesso al crontab con aruba pero') sia del database che dell'intera gallleria.
io avevo attivato la funzione che da aruba x 2 euro all anno del backup ottimo sembrava ma ora a sto punto a che serve mi chiedo se i file che loro fanno sono anche loro infettati 

In caso di altri exploit, ti basta ritornare alla versione "sana" del tuo backup.
adesso me la faro vecchio stile me li port sul mio pc i file e sono sicuro forse di piu' 

tu ringrazio dell aiuto sei stato molto utile

[twist]

beh il backup e' utile solo se hai a disposizione un tot numero di backup, molti provider offrono backup ma tipo 1 o 2. per essere sicuro dovresti tenere tipo una settimana di backup giornalieri, in modo tale da poter risalire a quella sana.

Difficilmente ti accorgi in tempo che sei stato attaccato e ovviamente se passano un paio di giorni il backup che ti ha lasciato il provider e' evidentemente oramai infetto.

[cattivix]

ottimo capito tutto ..un ultima cosa volevo chiederti ora sto forse finendo il tutto ma  è possibile che gli altri file ho anche altre gallerie in altre directory (solo per fare delle prove) potrebbero dinuovo rovinare e modificare gli altri file?

[twist]

Non lo so, dipende come e' configurato il tuo spazio, chiedi al servizio tecnico di aruba, loro devono sapertelo dire.
Ma cosi' su 2 piedi direi di no, e' anche pur vero che non so come funzioni l'exploit che hanno usato.
Cmq controllare le altre gallerie non ti costa nulla.
Vedi se ci sono file sospetti e pulisci.

[cattivix]

tutti i file vedi la mia directory.
admin
ammap
backup_File
banner_miei
blog
host
prove
public
scriptdemo
scripthomeita
scripthomeusa
serviziutili
webcamxp

ogni cartella contiene una marea di file php e html  e i assicuro che tutti i file sono stati toccati incredibile che danno che fa sto schifo di gente mai capiatato una cosa simile in 6 anni

se ti interessa x curiosita' ti posso far avere il codice che hanno messo in ogni pagina non credo ovviamente che sia lexploit intero

[Davide Renda]

Leggi QUI e anche QUI.
I post in evidenza sono lí appunto per essere evidenti e letti... ;-)
Coraggio che puoi ricuperare tutto senza impazzire!

[cattivix]

hai ragione li ho letti dopo che avevo fatto i post 
con i vostri consigli ho messo tutto a posto il sito è ora visibile www.expres.it
grazie a tutti