.htaccess - File Injection Attack

tlmovie67

Ciao a tutti,
questa mattina ho tentato di entrare in administrator del mio sito, ma ho ottenuto il messaggio di errore:

Forbidden
You don't have permission to access this resource.

Non ci ho dato troppo peso perchè ero in una rete aziendale con VPN e firewall attivi.
A casa ho tentato nuovamente ed ho ottenuto lo stesso errore.

Mi sono collegato con FTP e ho capito che mi hanno creato in ogni cartella del sito il file .htaccess con all'interno il codice che segue

<FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>

Cancellando manualmente il file dalle cartelle /administrator, sono riuscito ad entrare,
ma ci sono ancora migliaia di file sparsi per tutto il sito

Evidentemente ho lascito una falla da qualche parte, volevo solo rendere noto questo problema nel caso capiti ad altri.
Ora devo capire come eliminare questi file e capire da dove sono entrati per eseguire uno script del genere,
Luca

matty80

Ciao, joomla e i suoi componenti sono tutti aggiornati all ultima versione?

tlmovie67

CIao,
di solito tengo aggiornati joomla e componenti alle ultime versioni, devo dire che questa volta ero rimasto un po indietro per questioni di tempo e di lavoro.
Ho provveduto ieri sera.
Grazie

matty80

Controlla se gli aggiornamenti hanno coretto una falla di sicurezza. In caso positivo hai scovato da dove possono essere entrati.
Se hai un backup conviene che in locale lo installi in un server virtuale, lo aggiorni e lo uppi in remoto sostituendo quello bucato che sarà difficile (non impossibile) da riparare.