Autore Topic: [RISOLTO] comodoca.com  (Letto 345 volte)

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
[RISOLTO] comodoca.com
« il: 14 Dic 2016, 13:01:05 »
Ciao a tutti,
ho un sito nel quale nella cartella radice public_html ritrovo numerosi file di testo all'interno dei quali trovo una stringa di caratteri e la scritta comodoca.com come riporto di seguito


Codice: [Seleziona]
d340d0fc6fbab0cd357dc59a13da60537a64656 0
comodoca.com


nel file .htaccess a suo tempo avevo introdotto quanto segue:


Codice: [Seleziona]
RewriteEngine On


RewriteCond %{REQUEST_URI} !^/curl\.php
RewriteCond %{REQUEST_URI} !^/index\.php
RewriteCond %{REQUEST_URI} !^/administrator/index\.php
RewriteRule .*\.php - [F]


RewriteCond %{REQUEST_URI}  ^/components/com_virtuemart/shop_image/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]


#Deny access to all CGI, Perl, Python and text files
#--------------------------------
<FilesMatch "\.(cgi|pl|py|txt)">
Deny from all
</FilesMatch>
##Allow only robots.txt file, if not allowed add sign # at the start of following 3 lines
<FilesMatch robots.txt>
Allow from all
</FilesMatch>


#--------------------------------
#Deny perl and other bots from accessing your site
#--------------------------------


########## start block bad bots
SetEnvIfNoCase User-Agent "^EmailSiphon" bad_bot
SetEnvIfNoCase User-Agent "^.*psycheclone" bad_bot
SetEnvIfNoCase User-Agent "^EmailWolf" bad_bot
SetEnvIfNoCase User-Agent "^ExtractorPro" bad_bot
SetEnvIfNoCase User-Agent "^CherryPicker" bad_bot
SetEnvIfNoCase User-Agent "^NICErsPRO" bad_bot
SetEnvIfNoCase User-Agent "^Teleport" bad_bot
SetEnvIfNoCase User-Agent "^EmailCollector" bad_bot
SetEnvIfNoCase User-Agent "^LinkWalker" bad_bot
SetEnvIfNoCase User-Agent "^Zeus" bad_bot
SetEnvIfNoCase User-Agent "^Mozilla.*NEWT" bad_bot
SetEnvIfNoCase User-Agent "^Crescent" bad_bot
SetEnvIfNoCase User-Agent "^[Ww]eb[Bb]andit" bad_bot
SetEnvIfNoCase User-Agent "^NICErsPRO" bad_bot
SetEnvIfNoCase User-Agent "^WebEMailExtrac.*" bad_bot
SetEnvIfNoCase User-Agent "^Microsoft.URL" bad_bot
SetEnvIfNoCase User-Agent "^Wget" bad_bot
SetEnvIfNoCase User-Agent "^DIIbot" bad_bot
SetEnvIfNoCase User-Agent "^sitecheck.internetseer.com" bad_bot
SetEnvIfNoCase User-Agent "^psbot" bad_bot
SetEnvIfNoCase User-Agent "^libwww-perl" bad_bot


<Limit GET POST>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
########## end block bad bots


Sapete dirmi da cosa derivano questi file e come fermarne la scrittura nella root del sito?
« Ultima modifica: 14 Dic 2016, 17:53:16 da claudio65 »
L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

Online alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24508
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:comodoca.com
« Risposta #1 il: 14 Dic 2016, 13:16:54 »
Ciao claudio65,
hai sempre tenuto il sito ben aggiornato?
Ultima versione di Joomla ed ultime versioni delle estensioni installate?
Sul server ci sono le ultime versioni supportate dei vari servizi (PHP, MySQL ecc..) ?
Sul PC dove hai il client FTP con i dati di accesso al sito hai un buon antivirus ed è tutto aggiornato ?

Le modalità con cui il tuo sito sia stato bucato sono molteplici, riuscire ad individuare quale sia stata la modalità utilizzata è difficile.
Come risolvere è altrettanto difficile.
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
Re:comodoca.com
« Risposta #2 il: 14 Dic 2016, 15:12:48 »
Ciao Alexred,grazie per la pronta replica, in merito al sito specifico esso è sempre stato aggiornato come tutti gli altri da me gestiti, allo stato dell'arte il sito in questione è un Joomla 2.5.28 con componenti aggiornati, ho notato però che lo stesso problema è presente anche in altri siti in Joomla 3.6.4  anch’essi con componenti sempre aggiornati.
Diciamo che l’aggiornamento di Joomla e relativi componenti fa parte della mia politica, quindi per quanto possibile tengo sempre tutti i siti aggiornati, salvo il salto di versione tipo da 2.5 a 3.X o 1.5 a 2.5 che implica sovente una massa di lavoro mai riconosciuta dai clienti LPer quanto riguarda PHP sul serve ho PHP 5.2 PHP 5.3 PHP 5.4 PHP 5.5 e PHP 5.6 che utilizzo in base ai siti, nel caso specifico il sito in questione come la maggior parte degli altri utilizza PHP 5.4.45.
Il database è un pochino vetusto in quanto è MySQL 5.1 e potrei aggiornarlo a 5.5 salvo il fatto che sul server ho siti ancora in Joomla 1.5 e Joomla 2.5 e tale upgrade temo metta KO il funzionamento dei vecchi siti.
Sul PC Win 7 64 con il quale mi connetto con Filezilla ho Avira free (sono povero e genovese J ) ho effettuato una scansione ma nulla è stato rilevato, per quel che possa essere utile ho scansionato il PC con Malwarebyte il quale ha rilevato 43 problemi eliminandoli, nel pannello di controllo à programmi non mi risulta nulla di anomalo e anche nel task manager non vedo alcun processo che desti sospetti.
Il problema è che non solo il dominio in questione Joomla 2.5 è infetto ma anche altri in Joomla 3.4, il che mi porta a pensare che sia proprio il mio PC ad aver causato tale problema.
Come mi suggeriresti di procedere per mettere rimedio a questo casotto?
 
L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

Online alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24508
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:comodoca.com
« Risposta #3 il: 14 Dic 2016, 15:31:41 »
Joomla 2.5 non è più supportato da anni e molto vulnerabile, ugualmente per PHP 5.4  ecc...

Se poi i siti sono sullo stesso server dove ci sono Joomla 1.5 o 2.5 o PHP 5.2 o 5.3 non c'è speranza.
« Ultima modifica: 14 Dic 2016, 15:34:03 da alexred »
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
Re:comodoca.com
« Risposta #4 il: 14 Dic 2016, 15:39:55 »
Si lo sò perfettamente che Joomla 2.5 come 1.5 non sono più supportati, ma non è facile per non dire impossibile spiegarlo ai proprietari dei siti. In quanto a PHP la versione più vecchia in utilizzo sul server è PHP 5.4.


Quindi dici che sono senza speranza, e quindi posso andarmene in vacanza per le feste? :)


Tu cosa faresti?



L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

Online alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24508
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:comodoca.com
« Risposta #5 il: 14 Dic 2016, 15:46:34 »
Chiudi i siti dei clienti che non vogliono pagare il contratto di manutenzione.
Rifai su nuovo server i siti solo dei clienti che ti pagano il contratto di manutenzione. Così puoi tenere tutto aggiornato e stabile.
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
Re:comodoca.com
« Risposta #6 il: 14 Dic 2016, 16:03:33 »
Bhe da dire si fa in 2 righe, in quanto a farlo conviene andare veramente in vacanza.
Purtroppo non ho questa possibilità contrattuale con i clienti, si vede che sono talmente scarso che non riesco a convincerli o che i miei clienti sono poveri.
Tanto di meno è pensabile rifare 40 - 50 siti su di un nuovo server, magari avessi in portfolio 40 - 50 siti da sviluppare a pagamento per il 2017.



Vedrò di trovare una soluzione meno drastica.


Grazie comunque.
L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
Re:comodoca.com
« Risposta #7 il: 14 Dic 2016, 16:34:08 »
Citazione
Le modalità con cui il tuo sito sia stato bucato sono molteplici, riuscire ad individuare quale sia stata la modalità utilizzata è difficile.
Quello che mi lascia perplesso comunque è che non si manifesta alcun sintomo in merito al fatto che il siti siano bucati, tanto meno i vari tools online e di Cpanel rilevano alcun ché, l'unico indizio è la presenza di questi file TXT
L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

Offline claudio65

  • Appassionato
  • ***
  • Post: 668
  • Sesso: Maschio
  • Buon forum a tutti
    • Mostra profilo
    • WMA
Re:comodoca.com
« Risposta #8 il: 14 Dic 2016, 17:49:48 »
Beh vediamo un po’, se non ho inteso male i miei siti non sono bucati, i file ai quali accennavo in questo mio post sono generati da cPanel per una questione di rinnovo certificati SSL come esposto in questo post https://forums.cpanel.net/threads/comodoca-file-in-accounts.584482/
 
Direi che per le feste posso rimanere a casa tranquillo davanti al camino
Un augurio a tutti di essere tutti più buoni per Natale ed il resto dell'anno  :)
L’umanità si prende troppo sul serio. È il peccato originale del mondo. Se l’uomo delle caverne fosse stato capace di ridere, la storia sarebbe stata diversa. (Oscar Wilde)

 

Torna su