Redirect non voluto.

[Bruno733]

Da questa mattina quando tento di accedere all'home page del mio sito vengo dopo pochi attimi reindirizzato su questo sito:
http://www.bing.com/search?q=freevirusscan&go=&form=QBRE&filt=all
Ho subito un attacco?
Ho un problema e non so da che parte iniziare a risolverlo...

[56francesco]

in questi casi inizia sempre con

a- un avviso alla assistenza hosting
b- un avviso alla assistenza hosting
c- vedi a e b
d- in caso di dubbio rivedi a, b e c.
 

poi magari in attesa di una qualsiasi risposta via ftp con filezilla verifica se non ci sono file strani nella root del sito  e se puoi farlo da solo modifica tutte le credenziali di accesso, ftp e database compresi..

[mmleoni]

Ho subito un attacco?

quasi sicuramente sì

... non so da che parte iniziare a risolverlo ...

spero tu abbia un back-up: nel caso, dopo aver sentito l'assistenza, provvedi al ripristino del sito.

ciao,
marco

[Bruno733]

Ho appena scritto all'assistenza.
Vi faccio sapere cosa rispondono.
Le copie di back up le ho fatte. Devo solo capire come reinstallare il tutto...
E soprattutto devo capire come evitare in futuro queste situazioni.
Joomla è aggiornato e così pure le sue estensioni.
Forse ho fatto male a passare a Joomla? ...

[^Sydney^]

Sai che pure a me è accaduto proprio oggi e proprio stamattina il tuo stesso attacco??
Pure io quando accedo al sito internet vengo indirizzata allo stesso sito internet.
Se hai qualche notizia in più anche su cosa dice la tua assistenza hosting.. potresti farmelo sapere?

Ti ringrazio e ringrazio tutti

[Motta]

resto in attesa anke io...

e ke palle sto joomla....

troppe volte ho subito attacchi e già mi ha creato seri danni kiudendomi l'accesso a diverse reti.

ora quest'altro... mi sa ke sarò costretto a kiudere.

[mmleoni]

ciao a tutti,
  cominciate, con pazienza, a fare un giro con l'ftp e verificate le date di modifica dei vari files (selezionate l'ordinamento per data, con la più recente in alto) e delle directory.

i files la cui data non coincide con il vostro ultimo intervento sul server (considerate anche le installazioni di estensioni) sono quelli che sono stati compromessi.

backup e ripristino di questi come primo intervento, poi bisognerà capire da dove sono entrati.

ciao,
marco

[Motta]

qualcosa l'ho trovata.

sta sul primo rigo dei file modificati (vedi data recentissima)

ed inizia.. cosi:

<?php /**/ eval(base64_decode("

locicamente nn metto tutto per questioni di 'sicurezza' (?)

[mmleoni]

ed infatti è quella stringa di strani caratteri...

il codice è stato codificato in base64 che è, in soldoni, un sistema per trasmettere dati binari tramite mezzi che non potrebbero gestirli, e che qui è usato solo per nascondere il codice alla vista (trovi siti che effettuano codifica e decodifica on line).

la stringa viene riconvertita nel testo originario tramite base64_decode() ed il codice così ottenuto è mandato in esecuzione tramite la funzione eval() (evaluate), ed ecco fatto il danno.

commenta la riga, aggiorna e stai in campana, senti comunque anche l'assistenza.

ciao,
marco

[mmleoni]

locicamente nn metto tutto per questioni di 'sicurezza' (?)

tranquillo inserito così sul forum è innocuo.

ciao

[Motta]

si ma il problema del redirect non è risolto.

e la cosa mi sembra che capiti solo aprendo con IE.

Qualcuno ha novità?

[Bruno733]

Questo il testo dell'assistenza hosting:

Gentile cliente,
La informo che in seguito a dei controlli i sistemi di xxxxxxx sono risultati configurati in sicurezza.
Se il sito è stato violato da terzi ciò è dovuto alla debolezza delle password da lei utilizzate, o di vulnerabilità presenti nel codice del suo sito web (che sia stato sviluppato da altri o da lei stesso) o dalla presenza di malware (virus, troian, ecc) sul pc che utilizza per caricare i files del sito sullo spazio hosting.
In molti casi anche sistemi di statistiche gratuite esterni,  banners, od altri servizi esterni che forniscono un codice da inserire nelle proprie pagine (es. javascripts, iframes) sono vittime di attacchi che fanno si che vengano poi inseriti codici malevoli sulle pagine degli utenti.
Tali vulnerabilità sono sfruttate da terzi per accedere allo spazio web per effettuarne un utilizzo improprio.
Per ripristinare una situazione di sicurezza la invito a seguire le seguenti istruzioni:
prima di tutto effettui una scansione completa con un antivirus aggiornato di tutti i computer che accedono all'ftp o al pannello di controllo del dominio. Sono infatti noti virus che ottengono la password dell'ftp del dominio e inoltrano la stessa ad utenti malintenzionati. Cambiare la password dell'ftp, se il virus è ancora presente, fa si che l'utente malintenzionato entri in possesso anche della nuova password scelta.

Solo dopo aver rimosso qualsiasi eventuale virus da qualsiasi computer effettui l'accesso allo spazio:

   1. Cambi tutte le password per ogni servizio xxxxxxx da lei usato: Pannello di controllo, FTP, email, Database, FTP di backup.
   2. Spostare in una sottocartella o cancellare tutti i files presenti nel suo spazio hosting.
   3. Ripubblicare il suo sito web da un backup precedente all'intrusione in modo da essere certi di non pubblicare files compromessi o reinstallare l'ultima versione stabile e sicura del software web da lei utilizzato.
   4. Installi periodicamente le patch di sicurezza per l'eventuale software web utilizzato.

In pratica ora sono cxxxxi miei...
P.s. Il problma è anche con Firefox...

[Bruno733]

Allora, anche io ho trovato una stringa lunghissima che inizia così:
<?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhp  ecc.

E' stata installata nei seguenti files:
- CHANGELOG.php
- COPYRIGHT.php
- CREDITS.php
- index.php
- index2.php
- INSTALL.php
- LICENSE.php
- LICENSES.php

OK. Ripristino questi. E il database? 

[56francesco]

bene, ora prova anche la soluzione B tra quelle che ti ho suggerito sopra..

che versione di joomla era?
ora siamo alla 1.5.15

[Bruno733]

che versione di joomla era?
ora siamo alla 1.5.15

E' proprio la 1.5.15
L'assistenza mi pare sia stata chiara: i loro sistemi sono a posto, se qualcuno ha violato il sito è un problema mio...

[mau_develop]

scusa ma a che ti servono tutti quei files? ... tranne index ovviamente

M.

[iccamar]

C'e' pure un file INSTALL.php...

[56francesco]

già, e una volta entrati si limiteranno solo a quel dominio?
 

ma se sono tranquilli loro..

[mmleoni]

ripristina:
- index.php
- index2.php

e cancella gli altri (sono files di istruzioni), comunque verifica TUTTE le cartelle. disinstalla estensioni, moduli e plugin non indispensabili.

E il database?

tipicamente non ci sono problemi, ma verifica
1. che non siano stati inseriti altri utenti con diritti amministrativi.
2. che non sia stato inserito del jscript nei vari contenuti, in primo luogo negli articoli.

leggi anche questo:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

ciao,
marco

[Bruno733]

Signori, scusate l'ignoranza...ma quello che c'era io l'ho lasciato. Quei files non servono? Li ho eliminati.
Però vorrei sottoporre alla vostra attenzione quanto successo: poco fa, senza compiere nessuna azione, se non scaricare in locale quei files citati prima ma SENZA sostituirli, il sito ha ripreso a vedersi normalmente.
Quella stringa di codice non c'è più.
Mi è rimasta solo la copia sul pc che avevo fatto prima...
Ripeto: io non ho fatto niente!