malware all'apertura del sito

[frascan]

Ma di chi è questo sito? Chi te l'ha girata questa patata bollente non ha i dati di accesso?
Nel momento in cui si registra un sito e si acquista uno spazio web per ospitarlo si indica anche una persona che si intesta il sito e fornisce un indirizzo mail mediante il quale avvengono le comunicazioni con il fornitore di hosting. Quindi qualcuno esiste che ha tali dati.
Cerca di risalire alla persona che ha registrato il sito la prima volta. Lui dovrebbe avere quello che ti serve.
Joomla invece è il ... chiamamolo ... "programma" che ti permette di realizzare e gestire il sito.

Per restare nel tuo ambito lavorativo possiamo dire che l'hosting è il terreno su cui costruire e joomla è la casa che devi costruire. Ora se prima non metti a posto il terreno su cui costruire, questa casa non potrà mai stare in piedi.
Senza i dati di accesso all'hosting (terreno) la ristrutturazione di questa casa (joomla) non si può fare.
Quindi direi di scomporre il problema grosso (sito infettato) in problemi più piccoli e procedere per gradi.
Primo problema ottenere i dati di accesso all'hosting. Risolto questo si passa al problema successivo.

[caps]

... chi ha registrato il sito ha anche "nascosto" le credenziali del "proprietario" ...

in ogni caso qualcuno ha pagato per il servizio (e scadrà nel 2012 ...) forse ha anche i dati di accesso 

[tomtomeight]

Da tener presente anche che l'hosting non fornirà i dati a chicchesia, ma solo all'intestatario propietario legittimo del dominio.
Come ultima possibilità darei un occhiata al configuration.php chissà se chi gestiva prima il sito abbia immesso i valori per il layer FTP

[Fabio111]

Ragazzi,

Vi ringrazio tutti di cuore sto vedendo la luce i dati me li hanno passati compreso una guida per risolvere il problema siete stati gentilissimi tutti

Ora proseguo con una persona in privato ( perchè ho commesso delle infrazioni su quello che posso o non posso pubblicare qui ) almeno spero di risolverlo.

Ancora mille grazie a tutti

un Saluto Fabio

[frascan]

Bene adesso che hai i dati di accesso devi per prima cosa fare un backup del sito e poi procedere all'aggiornamento della versione.

Di seguito tre link che dovrebbero fornirti tutte le indicazioni necessarie per le varie procedure:

http://www.joomla.it/articoli-della-community/3754-filezilla-il-migliore-client-ftp-gratuito.html

http://wiki.joomla.it/index.php?title=Backup_del_proprio_sito

http://wiki.joomla.it/index.php?title=Aggiornamento_da_una_versione_esistente_di_Joomla_1.5

Per quanto riguarda la verifica del sito se è stato bucato o meno resta valida la guida che ti ha indicato mau_develop qualche post fa.

In ogni caso visto che ti ritrovi questa patata bollente e sei inesperto prima di fare qualsiasi cosa documentati. Molto utile la sezione primi passi di joomla.it dove trovi il necessario per prendere confidenza con il sistema joomla:

http://wiki.joomla.it/index.php?title=Primi_passi_per_Joomla_1.5

E dulcis in fundo hai il forum per chiarimenti e supporto qualora dovessi trovarti in difficoltà

[Fabio111]

Allora ormai vi rendo partecipi.

Il sito è stato bucato ( ta-dannnnnn ) mi sta aiutando FraScan anche perchè io non ci capirei nulla al primo tentativo di riuscita sembrava funzionare ma nulla per quanto riguarda il secondo tentativo per vedere i danni è in progress quindi il sito è aggiornato alla .22 scaricato anche la copia di backup ora si vede i prossimi sviluppi

Notizie al più presto

Ciao a Todos

[frascan]

Posto la procedura eseguita affichè possa essere di aiuto ad altri che dovessero trovarsi nella stessa situazione con l'avvertenza di non metterla in atto se non si sa dove si devono mettere le mani.

Il sito in questione è un sito abbastanza semplice. Installazione di joomla ed un unico componente aggiuntivo la oziogallery. Problema non da poco però: nessun backup.
Scaricati tutti i files e le cartelle di joomla in locale ed il .sql del database (su pc "muletto" per evitare possibili infezioni ai pc su cui lavoro).

Verifica sul server dei files e delle cartelle con date di ultima modifica diverse e successive alla presunta data di installazione di joomla.

Scansione con AVG e Avast di tutti i files e le cartelle scaricate con esito negativo. Nessun virus rilevato.

Si passa quindi all'esame dei files con date di modifica decisamente successive alla data della maggior parte dei files. Nel file index.php del template in uso e nel file index.php nella root di joomla ho trovato del codice criptato che iniziava con "eval (base64_decode" e che generava dei rediret verso altri siti.

Rimozione del codice criptato da tali files.

Poi con Notepad++ funzione "Cerca nei file" lancio varie procedure di ricerca delle stringhe di codice: "eval (base64_decode"; "eval"; "base64", "decode" in modo da verificare se il codice in questione è presente anche in altri files. Ne trovo 17 di files con il codice criptato. Ripuliti tutti e 17. Uno di questi files img.php è un files che nulla a a che vedere con joomla e si trova nella cartella images di joomla. Ritengo che sia questo quello che aveva la funzione di rigenerare l'infezione per cui lo elimino.

Ripetizione varie volte della procedura sopra descritta per accertarmi che non ci fosse più codice criptato.

Verifica di eventuali files sospetti nelle cartelle e sottocartelle presenti in images.

Elimino dal server files e cartelle di joomla esistenti e ricarico quelli ripuliti.

Aggiorno dalla versione 1.5.8 alla versione 1.5.22. Verifico che l'aggiornamento sia andato a buon fine e scarico un pacchetto completo di joomla 1.5.22 e vado a sovrascrivere tutti i files e le cartelle nuovamente.

Stesso discorso fatto per la oziogallery con aggiornamento e riscrittura dei files.

Attualmente il sito sembra a posto anche se viene segnalato da google come sito non sicuro ed in firefox e chrome appare la classica pagina che invita ad allontanarsi dal sito per cui bisogna forzarne l'apertura. IE7 invece lo apre senza nessun avviso.

Verifica del chmod a files e cartelle che è impostate su 755 per le cartelle e su 644 per i files.

Avviata la procedura di Riconsiderazione del sito web con Google. Adesso si attende che big G dia il suo responso finale per capire se è tutto a posto o bisogna ritornare a metterci le mani sopra.

Ovviamente una simile procedura non garantisce la rimozione totale di tutto il codice malevolo inoculato in quanto potrebbe esserci altro codice malevolo che non contiene le stringhe di cui si è detto sopra.

Si tratta di una procedura alquanto laboriosa che va per tentativi, ma in mancanza di un backup precedente del sito non mi è venuto in mente nient'altro se non rifare da zero il sito. Detto per inciso cosa fattibile visto che il sito non zeppo di contenuti quindi in un paio di giorni credo che si rimetterebbe su a partire da zero. Ma ho colto questa occasione per mettere in pratica concretamente e sperimentare in prima persona una simile procedura che nella sostanza è quella suggerita da mau_develop nel post segnalato sopra.

Non ritengo che sia esaustiva e completa per cui chiunque volesse aggiungere altro è il benvenuto.
Ogni aggiunta non può che essere utile per la risoluzione di simili situazioni di emergenza e per accrescere le conoscenze di tutti noi.

In ogni caso il miglior sistema per mantenere sicuro un sito in joomla è una costante politica di backup ogni qualvolta si fa una modifica al sito.

[caps]

(su pc "muletto" per evitare possibili infezioni ai pc su cui lavoro).

può andare bene anche una macchina virtuale?

Poi con Notepad++ funzione "Cerca nei file" lancio varie procedure di ricerca delle stringhe di codice: "eval (base64_decode"; "eval"; "base64", ...

caspita, non ci avevo mai fatto caso al "cerca nei file", uso altri programmini tipo Agent Ransack

Aggiorno dalla versione 1.5.8 alla versione 1.5.22. Verifico che l'aggiornamento sia andato a buon fine e scarico un pacchetto completo di joomla 1.5.22 e vado a sovrascrivere tutti i files e le cartelle nuovamente.

perchè una seconda sovrascrittura di tutti i file? un'ulteriore sicurezza in caso che alcuni file "bucati" della 1.5.8 non scovati dalle ricerche non siano presenti nell'aggiornamento?

Grazie

[Fabio111]

Ragazzi/e ci siamo datemi la conferma anche voi... a regola non dovrebbe dare più errore di sito danneggiato provate www.labronica.org

saluti Fabio

[peppe990]

Si, il sito è ora funzionante al 100%. Direi che Frascan ha fatto un ottimo lavoro sul tuo sito e fornito a noi le linee guida su come operare se ci dovessimo trovare in una circostanza simile alla tua.

 

[maicolstaip]

Bravo frascan!

[Fabio111]

Si, il sito è ora funzionante al 100%. Direi che Frascan ha fatto un ottimo lavoro sul tuo sito e fornito a noi le linee guida su come operare se ci dovessimo trovare in una circostanza simile alla tua.

 

Cavolo si mi ha davvero dato una mano enorme.... senza di lui non ce l'avrei fatta.
Dai è stato un modo per iniziare ad occuparmi di siti internet ora la cosa fondamentale da capire è come si usa joomla LOL ahahahahahah devo iniziare a capirci qualcosa per mettere foto scritte e altro

Ragazzi direi topic quasi chiuso ultima cosa è fare i passi per blindarmi

ciao a todos Fabio

[frascan]

@caps

può andare bene anche una macchina virtuale?

si direi di si

perchè una seconda sovrascrittura di tutti i file? un'ulteriore sicurezza in caso che alcuni file "bucati" della 1.5.8 non scovati dalle ricerche non siano presenti nell'aggiornamento?

la sovrascrittura con una versione integrale della 1.5.22 dopo l'aggiornamento l'ho fatta perchè in fase di aggiornamento non vengono sostituiti tutti i files di joomla ma solo i files che hanno subito modifiche.
infatti se fai una verifica i pacchetti completi delle versioni di joomla pesano circa 6 MB se ricordo bene; mentre i pacchetti degli aggiornamenti pesano qualche MB o anche pochi KB a seconda dei files che sono stati modificati. quindi una volta andato a buon fine l'aggiornamento una bella ripassata con una versione integrale ha come risultato quello di avere la certezza che tutti i files di joomla sono a posto.

[caps]

grazie