Attenzione a chi gestisce sistemi Moodle: c'è un malworm chiamato c99MadShell . Colpisce anche Xoops (come si legge da questo post) e Joomla!.
Sintomi: su Moodle non si riesce più a modificare/visualizzare corsi nascosti: da pagina bianca. Su Xoops/Joomla appare solo spam sulla home. Se subite l'hack, esso coinvolge tutti gli altri sistemi installati nella stessa web root, anche MDPro se avete il file config/md_config.php scrivibile.
Come verificare, come risolvere, come prevenire... clicca su leggi tutto.
Come verificare: se aprite il codice di qualsiasi file PHP, trovate nella prima riga:
<?php
/**/eval(base64_decode('aWYoZn .... ?>
Come agisce: quel codice base64 inserito alla prima riga di ogni file PHP presente nella web root richiama un file mdl_utf.php nascosto in qualche sottocartella che richiama pagine di spam create con Wordpress.
Come risolvere: trovare mdl_utf.php, eliminarlo. Per trovarlo: guardare i log di errore del sito oppure incollare quel codice base64 qui per decodificarlo: all'interno si trova il percorso di mdl_utf.php. Di solito si trova in /lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/ e sottocartelle. Cancellare tale file e tutti gli altri files creati dal malworm. Cancellare il base64 code dalla prima riga del config.php. Togliere i permessi di scrittura su config.php (chmod 750),, oppure eseguire lo shell script indicato quì su moodle.org da Esteban.
Salvare il file config.php e la cartella moodledata e sovrascrivere tutti gli altri file di Moodle con la stessa versione vergine.
Come prevenire: chmod 750 sul config.php di Moodle, upgradare alla 1.9.4.
Attenzione: se avete altri sistemi installati nella stessa webroot di Moodle, impostare chmod 644 sui file di configurazione (MDPro il file Config/md_config.php).
14700 Letture
TiMax
20/Dic/09 04:22
TiMax ha scritto:
ecco
sancio76
28/Feb/09 01:06
sancio76 ha scritto: Re: Attenzione: Malworm su Moodle
grazie capretta, modifiche apportate