Autore Topic: Sucuri mi avvisa: come procedo?  (Letto 4186 volte)

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Sucuri mi avvisa: come procedo?
« il: 10 Dic 2015, 13:45:02 »
Ciao

Una scansione effettuata con Sucuri site check mi segnala:

Warning: Malicious code detected on this website
Critical server errors detected
Internal server error - 500-error?v1 - http://www.miosito.it/404javascript.js

Altri tools online invece me lo danno pulito.
Il sito è stato pubblicato due giorni fa, Joomla ed estensioni sono aggiornate all'ultima versione.

Qualche indicazione o guide di riferimento su come procedere?Grazie

Scansionata una copia del sito in locale con tre diversi tool che non rilevano nulla.
« Ultima modifica: 10 Dic 2015, 14:15:47 da prankster »
Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #1 il: 11 Dic 2015, 08:12:50 »
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #2 il: 14 Dic 2015, 22:41:45 »
grazie $Red
Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #3 il: 15 Dic 2015, 07:53:24 »
Prego  :) Sei riuscito a risolvere qualcosa?
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #4 il: 15 Dic 2015, 08:29:33 »
 ;D Hello $Red in realtà per niente e continuo ad essere perplesso.  ;D

Ho scansionato in totale con una trentina di tool diversi online solo sucuri me lo da impestato.
Google non mi segnala (altre volte mi aveva mandato le squadre d'assalto sul tetto di casa)
Il sito era online da soli 2 gg. al momento della "rivelazione" ed era tutto bello nuovo e aggiornato (vabbè questo conta poco)
Continuo comunque la caccia perchè la copia di backup mi da lo stesso alert
Sospetto di una estensione che visualizza gli album fotografici di Faccialibro
Boh.


Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #5 il: 15 Dic 2015, 08:55:16 »
si è possibile che sia qualche script di estensioni a creare il problema, cerca di capire dove risiede quel file Js, in caso disattiva o sostituisci l'estensione che lo carica, spero che tu abbia scaricato tutte le estensioni dai siti ufficiali degli sviluppatori, perche un conto che è un falso positivo di sucuri un conto è la segnalazione di google, potresti finire in qualche blacklist e non penso che ti fa piacere
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #6 il: 15 Dic 2015, 09:16:10 »
Tutto scaricato via Jed e via Joomla.it, niente "cose strane".
il file 404javascript.js non esiste
googlando trovo pareri discordi
mi sto infilando la calzamaglia e il mantello rosso da superman ma mi va un po stretta
Niente messaggi privati grazie.

Offline maxzilla

  • Appassionato
  • ***
  • Post: 620
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #7 il: 15 Dic 2015, 10:42:52 »
Ciao prankster
cercando in giro ho letto che chi aveva il tuo stesso problema, anche se con una versione precedente di joomla, ha trovato delle righe in piu' nel file .htaccess
Ikonart Informatica - Trento

"Mangia prodotti italiani. W il made in Italy"

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #8 il: 15 Dic 2015, 10:53:15 »
esatto, grazie cmq.

vabbè ho bruciato un attimo l'htccess (che contiene una lista di spambot)
scansionato nuovamente con sucuri con esito felice
riattivato htaccess
scansionato con sucuri con esito felice

non vedo righe anomale nell'htaccess.
me sembra de sta sulle giostre  :o
Niente messaggi privati grazie.

Offline maxzilla

  • Appassionato
  • ***
  • Post: 620
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #9 il: 15 Dic 2015, 10:57:55 »
ok  :)

non potendo fare link a risorse esterne ti riporto quello che ho trovato scritto

"-Ristabilito il file .htaccess, cancellando a inizio e fine file le righe di codice in più
-Cambiate le pass di amministratore per l'ftp e il db (quest'ultimo non dovrebbe essere interessato ma nel dubbio...)
-Eliminato il contenuto della cartella cache e di quella install (dove c'erano i rimasugli dell'installazione)
-cancellato da ogni sottocartella di primo livello della root, il file .htaccess che era stato inserito dal codice malefico.
-Aggiornato joomla e componenti"
Ikonart Informatica - Trento

"Mangia prodotti italiani. W il made in Italy"

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #10 il: 15 Dic 2015, 11:12:26 »
Maxzilla grazie

ho controllato tutto: non ci sono (a prima vista) frattaglie.

Intanto Sucuri sembra aver cambiato idea e dice che il sito è acqua pura di sorgente  :o
Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #11 il: 15 Dic 2015, 11:33:46 »
Grazie anche da parte mia max, ed ora che lo hai segnalato e ci penso è una cosa che mi era già capitato di leggere qui sul forum però se non ricordo male era capitato a qualcuno con joomla 2.5, ed è una cosa che "prende" anche l'altro cms WP grazie ancora  :) Prankster quando pensi che è tutto ok ricorda di inserire [Risolto] nel titolo del topic grazie e buon joomla ad entrambi  :D
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline maxzilla

  • Appassionato
  • ***
  • Post: 620
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #12 il: 15 Dic 2015, 11:49:58 »
Mi fa piacere di essere stato di aiuto, ma non e' farina del mio sacco, ho semplicemente fatto una ricerca.  :) :)

In effetti e' strano aver ritrovato una situazione di 3 anni fa riscontrata con la versione di 2.5.
Si, hai ragione $Red ho letto anche di WP con lo stesso problema.

prankster una domanda: il tuo sito era online da 2 giorni, quindi J3.4, giusto?

Potrebbe essere una vulnerabilità di client FTP o server e quindi qualche problema che non riguarda joomla e le sue estensioni direttamente?
Ikonart Informatica - Trento

"Mangia prodotti italiani. W il made in Italy"

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #13 il: 15 Dic 2015, 14:29:11 »
Oilà

Intanto vi ringrazio comunque.
Mi sarebbe piaciuto scrivere Risolto ma non è così
Il tema è, come giustamente rilevate, abbastanza trattato in larga parte con riferimento a WP.
Anche su Joomla si trova qualcosina ma a mio modestissimo parere nulla di realmente chiarificatore.

Il sito è andato online con la 3.4.5
Altri 2 siti ce li ritroviamo con la medesima situazione
L'unica cosa che li accomuna è che sono costruiti con Helix3
Ora proviamo a smanettare con l'htaccess

Il discorso è che disabilitando le tre opzioni Seo la segnalazione di malicious code scompare.
« Ultima modifica: 15 Dic 2015, 14:51:31 da prankster »
Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #14 il: 15 Dic 2015, 14:53:14 »
allora penso che... ti devi controllare tutte le cartelle e vedere se ci sono altri htaccess, magari portarti anche in locale un backup e scansionarlo con uno o due antivirus, o ancora meglio utilizzare solo il tuo DB e caricare un pacchetto di joomla "pulito", tranne la cartella installation chiaramente, mantenendo il tuo configuration.php controllando che non ci sia codice strano anche li, e reinstallando tutte le estensioni che avendo gia le tabelle sul DB dovrebbero rimanere configurate. chiaramente fatti un backup di tutto prima se prendi questa strada
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #15 il: 16 Dic 2015, 23:00:32 »
Non fraintendetemi, ho capito che devo in qualche modo ricostruire il tutto partendo da un vecchio backup (che a questo punto potrebbe anche essere infetto visto che tutti gli antivirus mi danno tutto pulito, anche il sito attualmente online)
Vorrei solo tentare di capire qualcosina in più

Ho scansionato i files con JAMSS
Questo tool da una marea infinita di falsi positivi così come assicura anche il dev. Serve solo a dare indicazioni di massima su dove guardare.
Ho trovato diverse stringhe che indicano la presenza di  shell (magari non vuol dire nulla)
Non so assolutamente che valore dare a queste stringhe, non fa purtroppo parte delle mie competenze.
Al massimo posso confrontare i file con una installazione pulita, magari in locale.
Comunque ne posto qualcuna qua, hai visto mai...

Codice: [Seleziona]
Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./libraries/vendor/joomla/input/src/Cli.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 21... executable that was called to run the CLI script. * * @var    string * @since  1.0 */ public $executable; /** * The additional arguments passed to the script that are not associated * w ... --> ./libraries/vendor/joomla/input/src/Cli.php is a file. It was last accessed: 2015-05-12T10:31:09+02:00, last changed: 2015-05-12T10:31:09+02:00, last modified: 2015-05-12T10:31:09+02:00.
File permissions:0755

Codice: [Seleziona]
Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./libraries/joomla/input/cli.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 20... executable that was called to run the CLI script. * * @var    string * @since  11.1 */ public $executable; /** * The additional arguments passed to the script that are not associated *  ... --> ./libraries/joomla/input/cli.php is a file. It was last accessed: 2015-05-12T10:29:44+02:00, last changed: 2015-05-12T10:29:45+02:00, last modified: 2015-05-12T10:29:45+02:00.
File permissions:0755

Codice: [Seleziona]
Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./components/com_mailto/controller.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 10... EXEC') or die; /** * Mailer Component Controller. * * @package     Joomla.Site * @subpackage  com_mailto * @since       1.5 */ class MailtoController extends JControllerLegacy { /** * Show t ... --> ./components/com_mailto/controller.php is a file. It was last accessed: 2015-05-12T10:19:21+02:00, last changed: 2015-12-15T11:30:44+01:00, last modified: 2015-12-15T11:30:44+01:00.
File permissions:0755

Codice: [Seleziona]
Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./administrator/components/com_sppagebuilder/views/ajax/view.raw.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 9... EXEC') or die ('resticted aceess'); $template_name = $_POST['template']; $path = JPATH_COMPONENT.'/builder/templates/'.$template_name.'.json'; if (file_exists($path)) { require_once ( JPATH_COMPONEN ... --> ./administrator/components/com_sppagebuilder/views/ajax/view.raw.php is a file. It was last accessed: 2015-05-12T10:12:51+02:00, last changed: 2015-05-12T10:12:51+02:00, last modified: 2015-05-12T10:12:51+02:00.
File permissions:0755

Codice: [Seleziona]
Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./plugins/osmap/com_k2/com_k2.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 27... EXEC') or die('Restricted access'); /** Adds support for K2  to OSMap */ class osmap_com_k2 { static $maxAccess = 0; static $suppressDups = false; static $suppressSub = false; /** Ge ... --> ./plugins/osmap/com_k2/com_k2.php is a file. It was last accessed: 2015-06-03T12:49:54+02:00, last changed: 2015-12-15T11:52:53+01:00, last modified: 2015-12-15T11:52:53+01:00.
File permissions:0644

Mannaggia la pupazza.
« Ultima modifica: 16 Dic 2015, 23:02:47 da prankster »
Niente messaggi privati grazie.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 28780
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Sucuri mi avvisa: come procedo?
« Risposta #16 il: 17 Dic 2015, 07:38:58 »
Lasciate perdere gli antivirus, salvo pochi casi non rilevano file infetti da malware. Indagate principalmente su file con data più recente rispetto agli altri file e cartelle, il procedimento va fatto anche all'interno di cartelle e sottocartelle. Sovrasrivere serve a poco perché lascia intatti i file iniettati, meglio sostituire proprio in sequenza ogni estensione con una nuova salvo poi verificare errori di esecuzione e provvedere a correggerli con confronto backup della estensione sostituita.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #17 il: 17 Dic 2015, 08:14:53 »
Grazie anche TTE

E non c'è niente da fare: niente scorciatoie ma questo era già deciso.

Però mi piacerebbe lo stesso sapere. E mica sarò l'unico nel mondo con questo raffreddore su Joomla 3.

Niente messaggi privati grazie.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5050
  • "Bastard Inside"
    • Mostra profilo
    • redwebsite
Re:Sucuri mi avvisa: come procedo?
« Risposta #18 il: 17 Dic 2015, 11:12:25 »
secondo me senza che perdi troppo tempo, anche se ci vorra un pò, la soluzione migliore è fare come ti ho detto sopra, cioè usare solo il tuo database, quindi scaricati un pacchetto di joomla della stessa versione che hai sul server, ed usa il tuo file configuration.php, la cartella delle immagini (controlla che non contiene strani file), eventuali file del template che hai modificato, file css, ecc..., usa il pacchetto pulito di joomla reinstalla le estensioni
alterjoomla Guide joomla altervista - RedWebSite  joomla! e non solo joomla

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #19 il: 17 Dic 2015, 11:17:19 »
Ma forse anche no.

La situazione è stabile.
L' Host ci richiama per telefono (!!!) e ci dice che non verificano codici malevoli.(Qui andiamo con le molle però)
Ci conforta che Google non batta ciglio e non ci blacklista.
Nessun file sospetto o modificato.

Invece troviamo sul forum della community di mcafee che molti proprietari di siti si trovano blacklisted solo su mcafee  senza particolari spiegazioni.
Va messa in atto una pratica che chiede la riconsiderazione dell'azione da loro intrapresa.

Sui motivi tecnici non si riesce a sapere di più (mettiamoci pure la nostra scarsa preparazione in materia), 404javascript.js continua ad essere avvolto nel mistero e pur avendo lanciato sos anche su altri pianeti nessuno si pronuncia.

Notiamo che comunque pagando si può richiedere l'intervento per la rimozione dalle blacklist, operazione che in passato abbiamo fatto in autonomia ripulendo altri siti compromessi.

Intanto procediamo per la tombola... installando un pezzo per volta e controllando.

Cheers

Non metto risolto finchè non trovo una spiegazione plausibile.
« Ultima modifica: 17 Dic 2015, 11:20:09 da prankster »
Niente messaggi privati grazie.

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #20 il: 17 Dic 2015, 11:39:48 »
devi solo usare il translate di google, non è difficile. Il log ti sta dicendo cosa dove quando e perchè

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./libraries/joomla/input/cli.php
Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 20... executable that was called to run the CLI script. * * @var    string * @since  11.1 */ public $executable; /** * The additional arguments passed to the script that are not associated *  ... --> ./libraries/joomla/input/cli.php is a file. It was last accessed: 2015-05-12T10:29:44+02:00, last changed: 2015-05-12T10:29:45+02:00, last modified: 2015-05-12T10:29:45+02:00.
File permissions:0755



mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline prankster

  • Appassionato
  • ***
  • Post: 412
  • Sesso: Maschio
    • Mostra profilo
Re:Sucuri mi avvisa: come procedo?
« Risposta #21 il: 17 Dic 2015, 14:06:54 »
Uh Maria Elena, che cognome!
Ti ringrazio della risposta. L'inglese posso capirlo... ma non ho modo di comprendere se il codice è in qualche modo modificato.
O meglio empiricamente ho messo a confronto il file sospetto con quello di una installazione pulita e non ci sono differenze.

Sto dando un'oacchiata anche al sql per vedere se trovo qualcosa di anomalo e poi procedo a reinstallare joomla ed estensioni usando lo stesso db. Vediamo un po'...
Niente messaggi privati grazie.

Offline abombazza

  • Appassionato
  • ***
  • Post: 493
    • Mostra profilo
    • La Bottega del WEB - realizzazione siti internet e molto di più
Re:Sucuri mi avvisa: come procedo?
« Risposta #22 il: 02 Mar 2018, 18:05:43 »
scusate se riapro la discussione, ma come avete risolto???
Grazie

 

Torna su