Attenzione a chi gestisce sistemi Moodle: c'è un malworm chiamato c99MadShell . Colpisce anche Xoops (come si legge da questo post) e Joomla!.
Sintomi: su Moodle non si riesce più a modificare/visualizzare corsi nascosti: da pagina bianca. Su Xoops/Joomla appare solo spam sulla home. Se subite l'hack, esso coinvolge tutti gli altri sistemi installati nella stessa web root.
Come verificare, come risolvere, come prevenire... clicca su leggi tutto.
Come verificare: se aprite il codice di qualsiasi file PHP, trovate nella prima riga:
<?php
/**/eval(base64_decode('aWYoZn .... ?>
Come agisce: quel codice base64 inserito alla prima riga di ogni file PHP presente nella web root richiama un file mdl_utf.php nascosto in qualche sottocartella che richiama pagine di spam create con Wordpress.
Come risolvere: trovare mdl_utf.php, eliminarlo. Per trovarlo: guardare i log di errore del sito oppure incollare quel codice base64 qui per decodificarlo: all'interno si trova il percorso di mdl_utf.php. Di solito si trova in /lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/ e sottocartelle. Cancellare tale file e tutti gli altri files creati dal malworm. Cancellare il base64 code dalla prima riga del config.php. Togliere i permessi di scrittura su config.php (chmod 750). oppure eseguire lo shell script indicato quì su moodle.org da Esteban.
Salvare il file config.php e la cartella moodledata e sovrascrivere tutti gli altri file di Moodle con la stessa versione vergine.
Come prevenire: chmod 750 sul config.php di Moodle, upgradare alla 1.9.4.
Attenzione: se avete altri sistemi installati nella stessa webroot di Moodle, impostare chmod 644 sui file di configurazione (MDPro il file Config/md_config.php).
4587 Letture
|
|
Non sei ancora registrato?
La registrazione è gratuita e necessita solo di qualche minuto.
Per altre informazioni cliccate qui -Password dimenticata? cliccate qui.