accedendo al sito da google vengo reindirizzato su un sito segnalato malevolo

[mau_develop]

possibili file malevoli creati che non verrebbero cancellati semplicemente uppando un istallazione di joomla.
---------------------------------------------------------------------------------
... si ma sono pochi e sono solo quelli che hai messo tu, quindi facilmente riconoscibili... immagini musica css + quelli relativi alle extensions installate per le quali basta l'aggiornamento visto che la maggior parte non salva contenuti nelle cartelle, tranne ovviamnete gallery e document up/down.

ci sarebbe pure da vedere il db.... ma è veramente difficile che venga messo qualcosa li... anche se possibile... in qs caso sarebbero quasi sicuramente script js che causano permanent xss capaci di grab di sessione.

l'unico attacco visibile è stato appunto che cliccando su un link del mio sito da google, si apriva un altro sito malevolo.
--------------------------------------------------------------------
appunto perchè hanno modificato un files...

bastava un if(strstr($_SERVER['HTTP_REFERER'], 'google')){ fai qualcosa }

M.

[marcothemix]

Ok grazie mi hai rassicurato pure in questo topic, reinstalalre da capo joomla sarebeb stato un lavoraccio, e sopratutto poi caricare da capo tutte le immagini della galelria nelle ripsettiva categorie ecc.

devo uppare tutto il contenuto dello zip di joomla ad eccezzione di qualcosa?
di sicuro non devo uppare la cartella install, anche qualcos'altro?
come template non uso ja_purity quindi nessun problema.

E comunque sostituendo tutti questi file, che cambiamenti mi dovrò aspettare?

grazie.

marco

[mau_develop]

no, non tutti i files e le cartelle:
non:
installation, install.php, configuration.php-DIST  e se me ne dimentico, tutto ciò che hai modificato successivamente (es. il configuration se lo sovrascrivi non potrà contenere i dati corretti)

administrator tutto senza problemi.

i files che non upperai saranno da controllare se non lo hai già fatto (installation esclusi che riguardano solo l'installazione)

fai sempre un backup prima di fare qs operazioni.

M.

[marcothemix]

Ok grazie molte.
Dunque così facendo non dovrebbe cambiare nulla, nessuna configurazione o altro.
nel caso se no posso sempre ripristinare il backup.

[mau_develop]

esatto...la filosofia è questa.

M.

[marcothemix]

Ciao,
fino a ieri tutto ok, oggi facendo una prova da google, stesso problema di una settimana fà, vengo reindirizzato su un'altro sito.
Ho cancellato il solito eval() da index.php, configuration.php e defines.php
e tutto è ritornato alla normalità, almeno in apparenza.

2 giorni fà avevo scaricato una nuova installazione di joomla e l'ho uppata via ftp, tutto tranne installtion, configuration.php e la lingua italiana.
Quindi vuol dire che hanno creato un file in più? o che abbiano aggiunto del codice in qualch componente?

Il plugin marco's sql injection non mi ha mandato nessuna mail, questo può voler dire che ho una backdoor e che quindi il plugin abbia pensato che quelle modifiche le stessi facendo io?

In più come consigliato dall'articolo in home su joomla.it, ho messo una password alla cartella administrator ed in più grazie a un plugin per accedere al backen bisogna inserire un token scelo da me.
www.miosito.it/administrator/index.pdp?token=miotoken

Cosa mi consigliate?

Grazie.
Marco

[mau_develop]

allora, prima di tutto una considerazione:
- nonostante token, doppia auth etc il sito è vulnerabile.
Questo dimostra l'inutilità di un'infinità di accorgimenti se la "base" non è a posto... e se la base è a posto quelle cose sono abbastanza inutili.

Poi, in effetti il non aver ricevuto mail dal plugin di marco fa supporre un po cose
- c'è una backdoor
- non hai cambiato le user e password di ftp e/o mysql e/o administrator
- passano dal server o comunque da un sito "accanto" al tuo
- Sei tu che ti autoinietti con un malware sul pc

... escludimi con sicurezza e perchè, qualcosa di questo elenco che poi vediamo come procedere...
un link?

M.

[marcothemix]

Codice: [Seleziona]

www.pixtime.org
Ti faccio sapere quanto prima quali di quelle ipotesi mi sento di poter escludere con certezza.
Mando anche una mail al mio servizio di hosting, magari anche lui può darmi qualche ripsosta utile.

Grazie, a presto

[mau_develop]

...una bella scansione locale con antivirus è consigliabile..

M.

[marcothemix]

intendi una scansione del mio pc?

[mau_develop]

e si, se amministri il sito con quello.

M.

[marcothemix]

Ok grazie ti farò sapere.

[marcothemix]

Poi, in effetti il non aver ricevuto mail dal plugin di marco fa supporre un po cose
- c'è una backdoor
- non hai cambiato le user e password di ftp e/o mysql e/o administrator
- passano dal server o comunque da un sito "accanto" al tuo
- Sei tu che ti autoinietti con un malware sul pc

Allora:
- c'è una backdoor? a qusto non ti so rispondere, non so come cercarla
-prima del secondo attaco avevo cambiato le password
-il gestore dell'hosting dice che l'attcco era mirato proprio al mio sito e che secondo lui non accedono da siti "accanto" al mio o dal server
-la scansiona antivirus sul mio pc con nod32, non ha rilevato minacce di nessun tipo.

Grazie..

Marco

[mau_develop]

il gestore dell'hosting dice che l'attcco era mirato proprio al mio sito
-----------------------------------------------------------------------------------------

perfetto, infatti è lui che può vedere i log del server... a qs punto saprà sicuramente anche qual'è il componente o la vulnerabilità in questione perchè lo vede chiaramente dalle request effettuate.

M.

ps ... io mi gioco 10 euri sul login facebook

Comunque ho fatto una scansione con il tool di Anubis e:

Changes security settings of Internet Explorer:
This system alteration could seriously affect safety surfing the World Wide Web.      medium
Performs File Modification and Destruction:
The executable modifies and destructs files which are not temporary.    high
Performs Registry Activities:
 The executable reads and modifies registry values. It may also create and monitor registry keys.    low

Come fa anubis a fare la scansione? simula di essere un visitatore e guarda cosa accadeai registri del pc visitando il sito.

Hai fatto una scansione con antivirus diversi?

Se usi gli strumenti di google webmaster per i malware cosa ti dice?

Hai controllato le mille addons che hai installato se sono state nel frattempo aggiornate o peggio abbandonate?

Sicuro di averle prese da siti affidabili?

M.

[marcothemix]

--anche io posso vedere i log, ma mi fa vedere solo i log del giorno, cioè solo di oggi.
Posso chiedere al fornitore dell'hosting di controllare i log riferiti al mio sito, in data 25 settembre che è il giorno in cui ho subito per la seconda volta il medesimo attcco, e lui deve essere in grado di dirmi il componente/plugin che è stato bucato?

Il login di facebook spero di no perchè quello che uso è l'unico a essere gratuito, l'ultimoa ggiornamento risale a fine agosto.

--La scansione con Anubis sembra parecchio allarmante... anche se non ho capito a pieno cosa dice come acco ad eliminare tutti questi problemi?

--Dato che non ero soddisfatto della scansione antivirus ne ho lanciata un'altra sta mattina, impostando il massimo grado si sensibilità e protezione da minace socnosciute analizzando tutto il pc in toto,non ha ancora finito ma per ora ha torvato:
numero di infiltrazioni : 226 !!
si torvano tutte in c:\user\marco\AppData\roaming\m
mi dice che sono tutti: win32/bagle. Un worm - era un worm parte di un ogetto eliminato

--google per webmster dice che non ha torvato nessun malware

--per le addos ecco quelle che non vengono aggiornate dallo svilupaptore da parecchio:
html purifier -> ultimo aggiornamento 2009
content optimizer -> ultimo aggiornamento 2009
google ajax library-> ultimo aggiornamento 2009
apool -> ultimo aggiornamento 2009 -> Disinstallato non lo uso per ora
Non avevo aggiornato jcomments..... aggiornato ora.
jce non è aggiornato perchè aggiornandolo scompare l'editor e mi da un errore, ho aperto un post in merito appena risolvo lo aggiorno.

--tutte le addons le ho prese partendo da extensions.joomla.org, in passato anche da siti googlando ma già da diversi mesi dovrei averle eliminate tutte quelle poco conosciute.

Grazie mille sei un angelo nel darmi tutto il tuo aiuto disponibilità e pazienza.

[mau_develop]

beh.. le extensions le devi aggiornare....

Il login di facebook spero di no
-------------------------------------------
avevo letto l'altro giorno, se lo trovo te lo posto, come fare un browser in the middle proprio con le integrazioni del login di facebook... per qs te l'ho detto, secondo me quel virus si propaga proprio in qs modo.

M.

[mmleoni]

ciao,
il log di apache sarebbe parecchio utile per capire come l'hack è avvenuto. sia che si tratti di un trojan (o back door), sia si tratti di una lfi, sicuramente ve ne sarà traccia nel log citato.

difficilmente sarà un hack a livello apache o di stack ip, salvo mancati aggiornamenti a livello di sistema, ma in questo caso non puoi fare nulla, se non arrabbiarti con il provider... ripeto, la cosa è molto rara.

dato che il gestore sostiene che l'attacco è stato mirato al tuo sito, sarebbe buona cosa che fornisse gli elementi da cui ha dedotto una tale asserzione, in modo che si possa porre rimedio alla falla. in mancanza di tali elementi posso solo dedurre che abbia voluto lavarsene le mani rapidamente.

aggiornare è quasi sempre buona cosa, ma chi ha lavorato in ambiente bancario sa che vecchio molto spesso si traduce con stable  se non sappiamo come è avvenuto l'hack come ci si muove? è cercare un gatto nero in una stanza buia... vi ricorda qualcosa?

ciao,
marco

[marcothemix]

Il gestore di servizi ha detto che loro non forniscono assistenza sul softwae instalalto e che i log sono liberamente accessibili anche a me, effettivamente non ci avevo mai fatto caso via ftp c'è una cartella log dove sono presenti i log di alcuni giorni precedenti, ho torvato i log del 25 settembre, purtroppo non del 16 settembre data del primo attacco.

Ho isolato in un tutti log del 25 settmbre, ma come posso procedere? come faccio a trovare traccia dell'hacker?

avevo letto l'altro giorno, se lo trovo te lo posto, come fare un browser in the middle proprio con le integrazioni del login di facebook... per qs te l'ho detto, secondo me quel virus si propaga proprio in qs modo.

caspita... proverò a cercarla anche io che se la trovo provo ad applicarlo per vedere se anche la mia estensione di facebook è vulnerabile

Grazie.

marco

[mau_develop]

ammesso che ci sia traccia...
comunque nei log è indicata la request fatta cosa ci abbiano scritto proprio non lo so ma qualcosa di diverso da ciò che gli sta accanto sicuramente.

ecco la tecnica che ti dicevo man in the browser ..browser in the middle... abbastanza nuova, uno dei più efficaci attacchi al dom ... hacker 2.0!

http://www.owasp.org/index.php/Man-in-the-browser_attack

M.

[marcothemix]

Ma fortunatamente sembra che il computer di chi amministri il sito debba essere prima infettato da un trojan.
La scansione antivirus è terminata, gli ho fatto scansionare perfino i file zip ecc. Ora credo che posso affermare che sul pc non ho nessuna minaccia. Ma ho letto che il torjan intacca il broswer, basta fare un "ccleaner" e mi ripulisce il broswer? o conviene reinstalalrlo?

ammesso che ci sia traccia...
comunque nei log è indicata la request fatta cosa ci abbiano scritto proprio non lo so ma qualcosa di diverso da ciò che gli sta accanto sicuramente.

Emh non sono molto pratico...
il log è una lista molto lunga fatta in questo modo:

Codice: [Seleziona]

indirizzo ip - - [25/Sep/2010:00:01:40 +0200] "GET /foto/ultime-aggiunte.html?func=detail&id=1499 HTTP/1.1" 301 483 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"in questo caso la request è GET seguito appunto dalla vera e propria request, ma nel caso ci fosse qualcosa che non và come me ne accorgerei?

Posso guardare mica solo i log di errore che sono più sintetici? o un hack non genera errori?

Grazie.