accedendo al sito da google vengo reindirizzato su un sito segnalato malevolo

[marcothemix]

Ciao,
scusatemi sono parecchio in difficoltà, se cerco il mio sito con google e clicco sul link, mi si apre un altro sito: gberbhjerfds.osa.pl, e si apre un quadrato rosso con scritto segnalato sito malevolo.

come versione di joomla ho 1.5.20, e gli altri componenti che ho sembrano essere tutti aggiornati all'ultima versione.

-----------------------------------------------------breve descrizione degli effetti: ------------------------------------------
funziona così il mio sito si chiama

Codice: [Seleziona]

pixtime se cerco su google

Codice: [Seleziona]

pixtime il link in basso è quello correto appunto

Codice: [Seleziona]

www.pixtime.org ma appena ci clicco il sito che si apre è

Codice: [Seleziona]

http://gberbhjerfds.osa.pl/?q=pixtimeSe cerco enzo vulcano il sito che si apre è invece

Codice: [Seleziona]

http://gberbhjerfds.osa.pl/?q=enzo%20vulcano
oltre a tutto ciò ricevo ogni giorno almeno 2 registrazioni da parte di account strani i quali confermano anche il link per email ma non si loggano mai. email del genere:

Codice: [Seleziona]

avtokalendar@hotel-zk.lviv.ua---------------------------------------------------------------------------------------------------------------------------------------

Vi prego aiutatemi, ho già cercato nel forum ma ho trovato solo un altro topic e non sono riuscito a risolvere.

[mmleoni]

non è che tu abbia cercato bene, dato che di post sull'argomento ce ne sono parecchi.

comincia a rimettere a posto la index.php, poi devi trovare da dove sono entrati.
leggi i vari post.

ciao,
marco

[marcothemix]

Con la funzione cerca non trovavo niente, manualmente ho avuto più fortuna.
In alcuni post viene consigliato di controlare manualmente quasi l'intero sito.
in altri quoto testualmente:

ricopia tutti i file sovrascrivendoli tranne la cartella installation,  templates e configuration.php

quest'ultima mi sembra la soluzione più semplice, è efficace? e in seguito a ciò verranno modificate delle impostazioni sul sito o altro?

per quanto riguarda l'index.php ci ho trovato uno strano codice: eval ( una ventina di righe maiuscole in parentesi )
l'ho eliminato ma è cambiato solo che adesso l'indirizzo a cui arriva ils ito è http://fgnfdfthrv.bee.pl
mentre prima era http://gberbhjerfds.osa.pl

ho anche disinstalalto il componente Acajoom in quanto non lo aggionrnavo da un pò.

cosa mi consigli di fare? ho un programma che cerca una parola in più file di stesto contemporaneamene può essere utile, ma cosa dovrei cercare?

Grazie mille

[mau_develop]

l'ideale è sempre ripartire da una nuova installazione.

sovrascrivendo se hai dentro quel .pl non verrebbe certo sovrascritto, mentre lo sarbbero i files di joomla iniettati.

se vuoi risolvere ... solo reinstallare e pian piano sostituire il db e il templates e i contenuti delle addons installate dopo averli attentamente controllati.

gli altri sistemi... uno vale l'altro... tanto giochi con la fortuna

M.

[marcothemix]

ho trovato in 3 file un codice del genere:
eval ( una ventina di righe tutta in maiuscolo)
i file erano index.php define.php e configuration.php

cancellando ciò ora è tornato tutto alla normalità, ma mi chiedo basterà?
o può restare qualche codice malevolo dormiente? che però magari dà un hacker un facile accesso al sito per usare nuovi exploit?

in più ho installato sia Marco's SQL Injection, che jHackGuard. Installati e ativati assieme vanno in conflitto? meglio lasciarne solo uno?

grazie

[mau_develop]

l'ideale è sempre ripartire da una nuova installazione.

......

se vuoi risolvere ... solo reinstallare e pian piano sostituire il db e il templates e i contenuti delle addons installate dopo averli attentamente controllati.

gli altri sistemi... uno vale l'altro... tanto giochi con la fortuna

M.

in più ho installato sia Marco's SQL Injection, che jHackGuard.
-------------------------------------------------------------------------------------
chi monta di guardia al primo turno? 

...dai su ...basta che tieni aggiornati i componenti e il core....

[marcothemix]

il problema di reinstalalre tutto, è che ho una galleria di immaggini molto vasta, 4000 foto ricaricarle tutte sarebbe davvero un lavoraccio.

mi sapete mica indicare dei frammenti di codice che potrebbero essere sti inseriti e che metterebbero in pericolo la sicurezza del sito?

del tipo "eval ( serie di caratteri lunga )"  ho capito che è l'inizio di un codice malevolo, cercandolo all'interno di tutti i file di joomla mediante un programmino ho potuto risalire ai file dove c'èra ed eliminarlo.

Grazie molte

[mau_develop]

e se una di quelle immagini fosse in realtà una shell?

non c'è una ricerca di codice maligno che funzioni ...il codice è codice... maligno è l'uso.

eval ne ha anche joomla...

M.

[marcothemix]

E non c'è un modo, un test, o qualsiasi cosa per sapere se nel mio sito c'è ancora qualche frammento di codice usato in modo malevolo?

se ho ancora dei buchi di protezione?

e se capiterà in futuro un atacco dle genere, è possibile sapere chi è stato? avere lameno un indirizzo ip? o almeno sapere da che zona dle mondo è partito?

grazie

[mau_develop]

E non c'è un modo, un test, o
-----------------------------------------------------
il modo c'è, ti apri file per file e guardi se c'è qualcosa in +, oppure
prendi una vers originale di tutto e fai un diff dei files

se ho ancora dei buchi di protezione?
--------------------------------------------------
se hai aggiornato joomla e i componenti che hai aggiunto all'ultima versione non ci sono vulnerabilità note

e se capiterà in futuro un atacco dle genere, è possibile sapere chi è stato? avere lameno un indirizzo ip? o almeno sapere da che zona dle mondo è partito?
------------------------------------------------------------------------------------------------------------------------------
chettifrega? non ci fai nulla.

Ogni attacco presume una falla, tieni aggiornato e cerca di non averne

M.

[mmleoni]

ricordo che nessuno dei plugins citati garantisce la sicurezza assoluta, vedi quanto scritto sul JED e nel mio sito a proposito del plugin. e non perché io mi ritenga un fessacchiotto che prova a programmare, ma perché non devo vendere niente e posso dire le cose come stanno!

parlo per il mio, ma il discorso si applica pari pari all'altro: vengono riconosciuti i più comuni tipi di attacco, ma qualcosa può sempre scappare: in particolare nessun plugin, nessuno al mondo, può salvarti da errori di configurazione o mancati aggiornamenti del server (se faccio saltare apache o bind sai a che serve il plugin).

la soluzione migliore, anzi l'unica sicura, è installare tutto ex-novo su una nuova macchina, con le versioni di joomla e componenti ora on line, trasferire il db da quella di produzione e copiare immagini ed altri file non eseguibili; a questo punto si installano tutti gli aggiornamenti. dopo di che si spiana il server di produzione e si mette in linea il sito rinnovato.

sarebbe opportuno testare anche i files trasferiti dal vecchio sito per verificare che l'estensione corrisponda al contenuto, sì come suggerito da maurizio. per le immagini una un visualizzatore qualunque, quello per cui non ti crea la thumbnail non è un file di immagine!

quello che può esserci nel db è giusto un xss, una rottura ma non pericoloso per il tuo sito.

ciao,
marco

[marcothemix]

Grazie molte davvero per tutti gli utilisismi consigli e dritte.
ho eliminato jHackGuardlasciando solo: Marco's SQL Injection.
ho controllato un pò di file ma ovviamente tutti è impossibile.
Disinstalalto ed eliminato tutti i componenti che non uso, o quelli non necessari che non vengono però più aggiornati da tempo.

Non ho a disposizione un'altra macchina,ma valuterò di fare il tutto in tarda serata quando ho poco traffico: eliminare tutto il contenuto della cartella publich_html, senza eliminare il databse, reinstalalre joomla e tutti i componenti plugin che uso.
tutte le configurazioni dei vari componenti dovrebbero rimanere in quanto credo salvate sul databse.
il problema resterebbero solo le immaggini che essendo 4000 ci vorrebbe davvero molto tempo, chiederò magari allo sviluppatore del componente della galelria imamgini se c'è un modo diverso e più rapido.

e per quanto riguarda la registrazione di utenti strani, con email del genere:

Codice: [Seleziona]

avtokalendar@hotel-zk.lviv.ua dipendevano da questo redirect non voluto ed ora eliminato?

[mau_develop]

se registrandosi poteva uppare qualcosa probabilmente il gioco è stato quello

ah! dimenticavo... ovviamente prima di fare tutto online cambia le pw dei vari servizi (...magari l'aveva già detto Marco..)

M.

[mmleoni]

AL TEMPO!
... così ho fatto venire i brividi a chi ha fatto a tempo a godersi un anno ospite del patrio esercito...

non ho mai detto di eliminare l'altro plugin, né che non funzioni; non lo conosco punto e basta, ma so che può fare e non fare un plugin.

non puoi re-installare joomla su un db esistente, corri il rischio di far danni e basta. installati un sistema locale, una vm od al peggio uno dei tanti giocattolini wamp mono utente, e lavora su questa.

back up di tutto prima di ogni operazione! o tra poco avrai ben più gravi problemi.

ciao,
marco

[marcothemix]

no, registrandosi si può uppare solo l'imagine del profilo di community builder.
Ora cambio tutte le password.


ho disinstalalto l'latro plugin per paura di appesantire troppo il sito, come farebbero due antivirus su un unico pc. E fra i due mi fido più del tuo.


grazie molte a tutti e due per le risposte rapide e precise

[artenelweb]

Ciao,
scusatemi sono parecchio in difficoltà, se cerco il mio sito con google e clicco sul link, mi si apre un altro sito: gberbhjerfds.osa.pl, e si apre un quadrato rosso con scritto segnalato sito malevolo.

come versione di joomla ho 1.5.20, e gli altri componenti che ho sembrano essere tutti aggiornati all'ultima versione.

-----------------------------------------------------breve descrizione degli effetti: ------------------------------------------
funziona così il mio sito si chiama

Codice: [Seleziona]

pixtime se cerco su google

Codice: [Seleziona]

pixtime il link in basso è quello correto appunto

Codice: [Seleziona]

www.pixtime.org ma appena ci clicco il sito che si apre è

Codice: [Seleziona]

http://gberbhjerfds.osa.pl/?q=pixtimeSe cerco enzo vulcano il sito che si apre è invece

Codice: [Seleziona]

http://gberbhjerfds.osa.pl/?q=enzo%20vulcano
oltre a tutto ciò ricevo ogni giorno almeno 2 registrazioni da parte di account strani i quali confermano anche il link per email ma non si loggano mai. email del genere:

Codice: [Seleziona]

avtokalendar@hotel-zk.lviv.ua---------------------------------------------------------------------------------------------------------------------------------------

Vi prego aiutatemi, ho già cercato nel forum ma ho trovato solo un altro topic e non sono riuscito a risolvere.

Anche a me è capitato uguale. Sono andato nella cartella images ed ho scoperto un file img.php. L'ho cancellato e tutto si è risolto. Però controlla bene anche dentro images/stories e cancella tutti i file che sono dubbi.

[mau_develop]

. L'ho cancellato e tutto si è risolto.
--------------------------------------------------
se non hai aggiornato l'estensione non si è risolto nulla.

come fai a dire che c'era solo quel file e non hai backdoor in giro?

M.

[marcothemix]

grazie artenelweb, controllerò anche dove mi hai detto, il problema si è risolto ma sono sicuro che ci sarà nascosto da qualche altra parte altro codice sospetto

mau_develop:
Ho le estensioni tutte aggiornate, e disinstalalto quelle inutili.
non c'è nessun modo anche manuale per andare alla ricerca di una backdoor?
nel senso per rimettere a posto il sito, capito che il codice iniziava per eval seguito da una lista lunga di caratteri in parentesi, ho cercato in tutti i file il codice eval e se era seguito da una lista lung di caratteri in partenesi l'ho eliminato.
Posso fare una cosa simile per la backdoor? solitamente il codice di una backdoor come è scritto?

Grazie

[mau_develop]

non c'è nessun modo anche manuale per andare alla ricerca di una backdoor?
--------------------------------------------------------------
no,...però c'è ugualmente la soluzione, sovrascrivere tutto il remoto.
Non potrai farlo per tutto perchè ad esempio usi japurity e l'hai modificato e perderesti tutto, ma puoi sicuramente farlo con la quasi totalità dei files.

un'altro trucco è segnarsi la data di modifica o installazione di un file, se ne trovi qualcuno che ha date molto recenti e tu non hai fatto nulla... qualcuno lo ha modificato.

una backdoor è semplicemente un "ingresso di servizio"
tutto ciò che mi rende capace di eseguire comadi arbitrari sul tuo server.
lo script che eseguirò avrà i massimi privilegi per fare qualsiasi cosa venendo eseguito direttamente dal server.
basta che nel tuo index metta una script che sia possibile richiamare da ulr

$pippo=$_GET['mio_comando'];
if($pippo == 'info'){ phpinfo(); }

index.php?pippo=info la riga di esploit

M.

[marcothemix]

Grazie, quindi la soluzione miglioere è quella di scaricar el'ultima versione di joomla e upparla sovrascrivendo tutti i file.
anche se a dir il vero dovei comunque reinstlalre nuovamente joomla per cancellare i possibili file malevoli creati che non verrebbero cancellati semplicemente uppando un istallazione di joomla.

Crdo di aver ricevuto solo attacchi a dizionari inuatomatica che scandagliano e attacano ttti i siti joomla in cerca di vulnerabilità è possibile comunque che abbiano creato file nuovi? o ne hanno solo modificati?
l'unico attacco visibile è stato appunto che cliccando su un link del mio sito da google, si apriva un altro sito malevolo.

Grazie.

Marco