Costretto a cambiare cms per colpa di Trojan e Backdoors

[notepad]

Ciao
Pultroppo sono costretto a cambiare cms e la cosa mi dà mooooolto fastidio.In quanto Joomla lo uso da anni e mi trovo + che bene.Con le mie 3 semplici pagine,composte da un Contact,About, e la splendida Ozio Gallery per condividere le mie fotografie.
Sono ormai una settimana ad installare e disinstallare Joomla perché il mio sito si infesta all'improvviso di malware,trojan,backdoors e con vari errori.Poi il titolo del mio sito,su google mi appare con caratteri stranissimi.Eppure per quasi un anno tutto hà funzionato correttamente (con la versione 1.5.15).Ecco in effetti i problemi son cominciati con l'ultima versione (installazione vergine)!
Fattostà che le ho'provate di tutte per proteggermi,ho installato CrawlProtect,GuardXT,messo htpassword e htaccess in administrator........sovrascritto l'installazione con ftp...Ma nulla il sito si infetta ugualmente!
1°Ho scansionato con almeno 6 antivirus il mio PC e non mi salta fuori nulla.
2°Nel post precedente parlavo di javascripts del template infettati lo ho cambiato ma nulla.
3°Scarico tutti i files che sono online nel mio desktop...E l'antivirus mi segnala una marea di virus,tipo config.php database.php PHP.Kroxxu-A [tri] e altri ancora..
Insomma son disperato che devo fare?
il mio sito (che poi pultroppo cancellero' oggi pomeriggio) http://fwd4.me/PDa

[56francesco]

prova ad installare Ubuntu nel tuo pc e a navigare e lavorare ai siti con quello..
è molto semplice e ti dimentichi di tutte quelle porcherie che si annidano negli androni segreti, misteriosi  e lububri  del  file di registro di win sozz

[notepad]

Ubuntu potrebbe essere una soluzione per essere immuni da malware,ma non mi permette di eseguire i miei lavori di fotoritocco con photoshop!
Segnalo in oltre una cosa che ho'scoperto poco fà.
Ho aperto i seguenti files (settati a chmod 400)
configuration.php
index.php
index2.php
e all'inizio del codice cé questa stringa

Codice: [Seleziona]

<?php eval(base64_decodecur
); ?><?phpMica é normale

[jeckodevelopment]

prova a togliere quella stringa codicificata in base 64 dai file e vedi.

[notepad]

Già fatto,ma ritornano..anzi sbirciando meglio stà stringa la trovo dappertutto,sopratutto nei files index.php del template e altrove.
ho provato a decriptare online codesta stringa..Ma i caratteri sono incomprensibili.

[jeckodevelopment]

Più che decriptare io avrei sovrascritto i file con quelli presi da un pacchetto nuovo di Joomla

[mau_develop]

Pultroppo sono costretto a cambiare cms
---------------------------------------------------------

no no, basta averlo aggiornato e qs cose non succedono,... certo che quando succedono sono casini.
Soprattutto se uno non fa i backup.
La stessa cosa è successa al mio sito,... credo di aver avuto un disservizio di 5 minuti, il tempo di riuppare tutto.

Il problema risiedeva in filezilla (UBUNTU), una volta buttato e reinstallato non ho più avuto problemi.

Poi se invece di usare un'altro cms (se trovi quello invulnerabile passamelo) rifai il tuo attuale da zero fai meno fatica e ottieni lo stesso risultato.

M.

[notepad]

Che Strano pero'
Ci sono troppe coincidenze non pensate?
Qui sul forum italiano e quello ufficiale nella sezione Security,quasi tutti gli ultimi post,riportano di iniezioni di codice maligno,e altre diavolerie.
Ma non é che qualcuno in massa si diverta a bucare i siti fatti con joomla

[jeckodevelopment]

C'è gente che si diverte a bucare Joomla, come c'è gente che si diverte a bucare un sistema operativo o un software piuttosto che un altro.
Seguire gli aggiornamenti implica una maggiore sicurezza.
Joomla essendo open source si fa guardare all'interno pertanto potrebbe essere più semplice trovare una vulnerabilità, rispetto a qualcosa di chiuso, qualcosa di cui non si conosce la struttura interna.
Le vulnerabilità e/o i problemi consentono ad un software di migliorarsi a tutto vantaggio della sicurezza e della stabilità.

[56francesco]

ubuntu è la soluzione, e poi un programma di grafica è sempre un programma di grafica e di open source ce ne sono di migliori, e comunque non devi stare on line per lavorare con quel coso li..

puoi manda un link al sito
che sono curioso di verificare una cosa..

ps
la monnezza meglio nella differenziata non qui, grazie

[jeckodevelopment]

@56francesco

Ecco il link, era sopra: http://fwd4.me/PDa

[notepad]

Comunque alla fine mi sono arreso.
Le ho provate veramente di tutte
1° Scansionato il pc con ben 6 antivirus e nessun virus rilevato!
2° Reinstallato joomla ben 6 volte da ieri sera!
3° Il mio Hosting non rileva anomalie!
4° Cambiato tutte le password ftp di joomla etc!
5°Nonostante cio'il Trojan si riinstallava sempre!
Come già detto sopra,usavo joomla da un bel po'di anni e senza aver mai avuto problemi del genere.
Ora tutto é cominciato con l'installazione 1.5.7..A questo punto la sola cosa che mi vien da pensare é che questa versione é Bacata? Guardando il forum ufficiale nella sezione Security (quasi tutti gli ultimi post,riportano all'incirca il mio stesso problema e cio' scripts maligni etc etc.
Boh non so'che dire..Fattostà che mi son installato Pixelpost e buonanotte al secchio
Aprofitto di questo post per segnalare un programmino che ho'scoperto solo ieri che sembra davvero interessante e forse andrebbe messo in evidenza http://www.crawlprotect.com/

[vamba]

A questo punto la sola cosa che mi vien da pensare é che questa versione é Bacata?

Se ha le competenze e le prove di tale supposizione la invito a contattare il Team di Sviluppo del CMS al sito www.joomla.org. Il suo intervento e la sua collaborazione saranno molto gradite.
Se invece è solo una sua sensazione, non suffragata da prove ma solo dalla lettura di interventi nei forum, che possono avere anche natura molto differente, la prego dall'astenersi da scrivere tali cose perchè dietro al rilasco della CMS gravitano molte persone di tutto il globo che controllano che il pacchetto in download sia immune da vizi.
Questo non vuol dire che non ci potranno essere problematiche di funzionalità, ma assolutamente non ci saranno file inseriti con il solo intento di penalizzare l'utente che andrà ad utilizzarlo.

[mau_develop]

con l'installazione 1.5.7
-----------------------------------
...spero tu intenda .17 ...


Ora tutto é cominciato con...
....................................... .........
no no, tutto è finito con..., prima si che c'erano dei problemi.

Comunque se sei l'unico su migliaia di user che non riesce a risolvere forse il perchè non sta in joomla,,, chessò, reti infette, altri che usano o amministrano il sito o il pc, hosting con problemoni.

Prova a fartelo installare da un'amico da casa sua, tu non accedere e non toccarlo, prima ovviamente devi cambiare le password di

ftp, mysql, admin joomla etc, altrimenti serve a nulla.

M.

[notepad]

Pultroppo non ho le competenze per segnalare il problema al Team Ufficiale di Joomla!
Comunque insisto nel dire che cé qualcosa che nn quadra Saro'un cretino ma ci vedo benissimo!
Vedete sul forum joomla france
http://forum.joomla.fr/forumdisplay.php?s=6c2bbff0f6c79735d3aea747fc512124&f=130
(Utenti che lamentano il mio stesso identico problema = scripts malevoli e codici criptati negli index.php)
Ora cerchiamo di prendere in seria considerazione Queste Coincidenze
E con questo spero che Vamba nn mi infraintenda (nn sono qui x criticare Joomla,ma x difenderlo a spadatratta)
Perché lo sempre usato con grande soddisfazione e vorrei continuare ad usarlo!

[mau_develop]

non c'era bisogno di andare fino a parigi, bastava scorrere il forum sicurezza un po' indietro e leggersi i vari post.
Da più di 6 mesi succede qs cosa e ti accorgi che joomla non centra molto... ovvero, problemi ne avrà anche ma questo che si verifica non è di joomla:

- se hai un virus che non riesci a rimuovere o non viene rilevato continui a iniettarti da solo,
- se lavori con windows molte cose ti è difficile vederle causa gli editor standard di windows e le lasci negli script,
- se hai cron può darsi che sia impostato per ricreare gli script nei files,
- se anche solo hai dimenticato qualcosina nel controllo lo script si rigenera,
- se non segui procedure corrette per il ripristino mentre tu rifai lui ridisfa (tutto automaticamente, lasciano una stringa di riconoscimento a cui sono abbinati payload e auth). Hai ripristinato il sito almeno 4/5 volte, NON credo che nel frattempo il tuo hoster ti abbia cambiato 4/5 volte le password di tutti i servizi...
- se sei su un server del tubo ti defacciano anche una pagina in html, passando da quello del tuo vicino.

... quando hai dato una risposta a tutto questo puoi cominciare a pensare ai problemi di joomla.

M.