Autore Topic: [RISOLTO] Dopo alert blacklisted ho trovato un file .exe  (Letto 672 volte)

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Buongiorno

Un sito che ospito sul mio server e che gestisce in autonomia un amico ad un controllo automatico mi ha dato un alert di compromissione e Domain blacklisted by SiteAdvisor (McAfee).
Ho provveduto a scaricare in locale le cartelle e file del sito e la mia protezione internet security mi ha rilevato un file dannoso in /media/server-log/putty.doc. Ispezionando la cartella in rete trovo pure un PUTTY.exe insieme al putty.doc.
Ovviamente li ho eliminati e trovo strano questa presenza perché non avrebbe senso in un sistema Linux un file .exe e credo pure che la segnalazione di blacklisted di McAfee sia un falso anche perché non indica nulla in merito tranne che sortire un abbonamento per ripulire da blacklist, questo da parte di sucuri.

il sito è centroservizisky.napoli.it

Che faccio?
« Ultima modifica: 27 Lug 2018, 18:19:15 da tomtomeight »
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline giusebos

  • Fuori controllo
  • *
  • Post: 19598
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #1 il: 26 Lug 2018, 14:22:44 »
hai controllato le proprietà del file, se ha un certificato?

PUTTY.exe è il noto client telnet, nella firma digitale dovrebbe esserci Simon Tatham
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline giusebos

  • Fuori controllo
  • *
  • Post: 19598
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #2 il: 26 Lug 2018, 14:24:43 »
Dimenticavo, il sito con avast e IObit non rileva nessun problema
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #3 il: 26 Lug 2018, 14:54:26 »
Devo recuperarlo da un backup perché istintivamente l"ho subito cancellato. Certo conosco e uso putty per interventi da linea di comando sul server. Non capisco come sia stato possibile inserirlo, ho chiesto all"amico se teneva aggiornato il sito e mi ha confermato a ultima 3.8.10
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #4 il: 26 Lug 2018, 18:23:46 »
Hackerato è stato hackerato, di sicuro, prova google:site:https://centroservizisky.napoli.it
Prova a dare uno sguardo all'.htaccess, da uno sguardo veloce ai files che carica non mi è sembrato di vedere nulla di anomalo, ma magari mi sbaglio...Controlla anche la search console se il sito è registrato, in particolare la sezione della sitemap.
« Ultima modifica: 26 Lug 2018, 19:10:07 da danielecr »

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #5 il: 27 Lug 2018, 08:54:33 »
Apparentemente sembra tutto ok, il file putty ovviamente è diverso da quello originale e comunque non è la prima volta che subisce attacchi questo sito, una volta mi hanno bloccato anche il server, chiederò di farlo spostare su un suo server o spazio dedicato.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #6 il: 27 Lug 2018, 09:20:07 »
Non credo sia ok, perchè i link da google rimandano ancora ai link in lingua orientale, quindi da qualche parte c'è qualcosa che li redireziona.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #7 il: 27 Lug 2018, 10:10:04 »
Scusa puoi riprovare, nel frattempo ho scovato e rimosso altri file nascosti, a me almeno desso sembra linkare giusto.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #8 il: 27 Lug 2018, 10:17:31 »
C'è ancora qualcosa che non va..Ad esempio questo indirizzo:https://centroservizisky.napoli.it/women/filter-544tnn3m8.phtml
se aperto direttamente, lo apre, se aperto da google fa un redirect; deve esserci qualcosa che ha a che fare con il referrer.

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #9 il: 27 Lug 2018, 10:30:47 »
Secondo me ci sono .htaccess nascosti, prova a fare una ricerca in locale per vedere quanti te ne trova.

Offline giusebos

  • Fuori controllo
  • *
  • Post: 19598
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #10 il: 27 Lug 2018, 11:04:29 »
questo problema dei link lo avuto anche io, nella serp c'era il mio sito con i link a prodotti cinesi, ma non sono mai riuscito a trovare nulla sul sito. Poi ho risolto scrivendo nel htaccess, link per link, redirezionando alla home fino alla totale scomparsa dei link che portavano al sito cinese.

Non sono mai riuscito a capire con quale tecnica agganciavano link al mio sito e poi facevano il redirect dato che non ho trovato nessun file strano sul sito e nessun file modificato.
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline giusebos

  • Fuori controllo
  • *
  • Post: 19598
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #11 il: 27 Lug 2018, 11:06:36 »
C'è ancora qualcosa che non va..Ad esempio questo indirizzo:https://centroservizisky.napoli.it/women/filter-544tnn3m8.phtml
se aperto direttamente, lo apre, se aperto da google fa un redirect; deve esserci qualcosa che ha a che fare con il referrer.

ed era ciò che riscontravo nel mio sito....
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #12 il: 27 Lug 2018, 11:26:35 »
Ttrovato gli .htaccess nascosti nella cartella administrator/modules/mod_status/ in cui ci sono due cartelle intruse con gli stessi elementi  /_MACOSX,    /hotmail2 e uno zip Hotmail.zip
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #13 il: 27 Lug 2018, 11:31:42 »
Stessi file anche nel com_login ed in chissà quante altre parti.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #14 il: 27 Lug 2018, 11:51:32 »
Citazione
credo pure che la segnalazione di blacklisted di McAfee sia un falso
Anche io tendevo a sottovalutare l'ingresso in blacklist di alcuni siti di utenti di questo forum che hanno scritto in questa sezione e acui ho dato uno sguardo, specie se la blacklist è una sola di una lista e specie se a dare l'allarme era il solo norton (che non mi è mai piaciuto).Ma ho imparato che i falsi allarmi sono veramente pochi (forse quasi nulli), l'ingresso in blacklist avviene per precise ragioni, a volte è difficile scovare la causa, ma il più delle volte esiste!

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #15 il: 27 Lug 2018, 12:12:03 »
Hai ragione era solo una mia impressione iniziale smentita dai fatti. Ho chiesto di far spostare il sito dal mio server.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 1036
    • Mostra profilo
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #16 il: 27 Lug 2018, 16:16:25 »
Della serie: o aggiorni per tempo a vieni cacciato dal tomtomeight server! ;D ;D

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29531
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Dopo alert blacklisted ho trovato un file .exe
« Risposta #17 il: 27 Lug 2018, 18:18:38 »
Beh ho dovuto ripulirglielo io. Rimosso e portato cartella sito in locale, copiata e scompattata versione equivalente (3.8.10), rimosso cartella installation e caricato vecchio configuration.php.
Aperto amministrazione e reinstallato tutte le estensioni  e template presenti, caricato dopo controllo le cartelle images.
Non si aprono più i link cinesi e salvo qualche aggiustamento sembra rifunzionare tutto.

In effetti quel sito serve per la gestione degli ordini e contratti della agenzia ed ha molti form fatti con fabrik e chronoforms solo lato registered. Non so se hanno validato i campi dei form ma entrano solo collaboratori e la registrazione avviene dietro approvazione.
Speriamo non ricada la compromissione.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

 

Torna su