Malware e Redirect da Google

[Piccolopoeta]

Salve ragazzi, questo problema è già noto al forum, difatti ho trovato diverse discussioni che ne parlano.
Ho provato a seguire le indicazioni fornite, ma senza successo!
Il sito in questione, www.costruzionimeccanichecasalese.com sembra funzionare regolarmente, ma alla ricerca con Google
http://www.google.com/search?q=costruzioni+meccaniche+casalese&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:it:official&client=firefox-a mi salta fuori un maledettessimo redirect a un sito malevolo.

Ho aggiornato joomla alla 1.22 e filezilla client all'ultima versione disponibile, eliminato il contenuto dei file, cambiato la password FTP, provato a rimpiazzare da Cpanel i file htaccess, index e includes/defines.php
ma il problema persiste.
In effetti effettuando una ricerca su base testuale all'interno di quei file non trovo traccia del redirect...diciamo che sto un pochino uscendo matto!
Non riesco a capire perchè anche cambiando i file potenzialmente colpevoli la situazione non cambia.

Spero possiate aiutarmi, l'azienda si sta risentendo

Grazie

Stefano

[mau_develop]

Ho aggiornato joomla alla 1.22
------------------------------------------------
perchè visto che l'ultima è la .23?
..e le estensioni sono tutte aggiornate?
... e i pc di chi accede come superadmin tutti sicuramente non infetti e protetti da av?
... e il tuo?

Il post descrive come, se si è fortunati, si possono fare dei tentativi di ripristino ma bisogna vedere cosa è successo in realtà, l'ideale sarebbe rifare tutto.

Comunque sia l'errore più grave è non avere un backup affidabile.
Se io ho in gestione un sito è garantito che in caso di compromissione loro possono tornare operativi max 1 ora dopo avermi avvisato con una situazione risalente alla domenica notte precedente, per il resto devono attendere magari una giornata

M.

PS:  hai guardato bene negli index? Cosa hai usato?  dai anche un'occhiata all'htaccess se lo usi

[Piccolopoeta]

Hai ragione...in verità ho 2 backup, ma non posso essere assolutamente certo che siano puliti 
Ti estraggo il codice degli index, ho guardato abbastanza bene, ma non mi pare ci sia nulla!
Idem per l'htaccess, te li incollo entrambi
Quanto all'accesso da superadmin per ora lo effettuo solo io, la macchina dovrebbe essere pulitissima, ho fatto scansioni sia con antivirus sia con Hijackthis..ma comunque non ne faccio un uso "particolare", e leggo la posta da un'altra macchina, per cui è anche difficile che mi arrivi un contagio!

index.php

[Piccolopoeta]

E il Defines in Includes

[mau_develop]

da qualche parte c'è.

Cosa usi per aprire i files?

M.

secondo me ti conviene fare in un altro modo:

- altro spazio, computer controllato, filezilla controllato, nuova installazione joomla 1.5.23, nuovo database, no dati esempio, stesso prefisso, user, password del precedente.

- segni tutte le extensions che avevi installato le scarichi all'ultima versione e le reinstalli

- Quando sei allineato con la struttura stacchi il nuovo db e gli attacchi quello vecchio.

...dovrebbe essere il modo più veloce per uscirne con buona probabilità di essere puliti.

[Piccolopoeta]

Wow...lavorone bello lungo.
Ma temo non si possa fare altrimenti..
Apro con un programma proprietario di cui non posso fare il nome!
Chiedo scusa!

[56francesco]

i sotware proprietari non devono essere citati sul forum..
come potrai notare  hai postato inutilmente del codice senza che nessuno te lo avesse chiesto, e se dentro ci stava qualche malware?  non c'era,  ma se l'hai postata è ovvio che non ne eri certo,  non la fate la differenziata li nel vostro paese? 
 

[mau_develop]

Wow...lavorone bello lungo.
--------------------------------------
boh... non so cosa tu abbia installato di strano ma

- joomla scaricamento + installazione circa 10 min.
- extensions... cercarla... dare una lettura, verificare l'ultima vers... scaricarla e installarla... diciamo 1/2 ora per ognuna stando abbondanti...
- collegare il db ... un nanosecondo...

poi sicuramente ci sarà da sistemare qualcosa ma tutte le configurazioni sono nel db...

dagli header sembra un redirect che difficilmente può stare al di fuori di un header e men che meno in un contenuto, vedresti l'errore "headers already sent" poichè la sessione è già partita quando mette insieme la view e il cod.

Prova a dare un'occhiata nel db se hai componenti particolari.. chessò pastebin o cose dove si può inserire codice negli articoli

Se avevi un forum o simile staccalo! 99% passano da li o da qualche inserimento.

Così pure se si possono caricare files e similari... aspetta a ripristinare quelle cartelle e se i contenuti sono nel db devi per forza guardarteli...

...guarda che sembrano "tante cose" ma le fai una dopo l'altra in un oretta,
Ti consiglierei di trovarti un metodo, per non rifare cose già fatte o fare danni.
I backup di sito e db, anche se infetti, tienili e se non li hai ancora fatti falli, magari falli dalla macchina del tuo collega ... nel caso impesti la sua

M.

[Piccolopoeta]

Hai ragione non è una cosa difficile o lunga come sembra...in fin dei conti sono cose che ho fatto anche altre volte in occasione di trasferimenti!
Dai, mi attivo e faccio, premurandomi di farti sapere se sgamo dove stava il problema!

[mau_develop]

cogli l'occasione
per crearti una "procedura" da seguire in questi casi,
per creare un feed con gli sviluppatori delle varie extensions, vieni avvisato subito in caso di problemi noti
per creare dei backup esterni allo spazio di hosting (dvd)

... comunque quello che ti è successo assomiglia molto all'azione di un malware presente sul tuo pc,
valuta anche di ritagliarti uno spazio settimanale per far girare l'antivirus a macchina spenta

in seconda istanza direi che sono passati dal server, joomla credo centri poco però è comunque stato iniettato.
...ma anche l'hoster centra poco... su hosting condivisi capita di riuscire a scavalcare qualche direttiva e riuscire ad infilarsi nella casa del vicino... nel palazzo già ci sei

M.

[Piccolopoeta]

Ti ringrazio, ho seguito quasi per filo e per segno la procedura che mi hai indicato. Ti spiego:

1) rimosso completamente tutti i file, controllando sia da clientFTP sia da Cpanel
2) installato joomla 1.5.23 pulito, nuovo, da zero, su nuovo DB creato appositamente
3) verificato che funzionasse, lasciando intatto il contenuto
4) collegato la nuova installazione al vecchio database, scaricando una copia del config.php e aggiornandola con i dati del vecchio DB (mantenendo comunque una copia inalterata deel config relativo al nuovo DB)
5) verificato che non vi fossero problemi
6) fatto backup chiamato "freschissimo di giornata" 
7) effettuato varie scansioni del caso
caricato il template
9) Caricate le foto
10) installati i moduli che avevo, tramite le versioni più aggiornate (fatto feed come suggerito da te)
11) verificato tutto per filo e per segno, fatto un altro backup (con nome diverso)

Ora risulta tutto funzionante, quindi si possono trarre alcune conclusioni "quasi" affidabili:

a) il malware NON risiedeva su DB (perchè non l'ho modificato)
b) "forse" il malware non viene dal mio computer (forse)
c) risiedeva in posizioni diverse da htaccess, index, includes/defines

Spero che la situazione non si ripresenti, ora tutto è aggiornato alle ultimissime versioni disponibili!


Mi sei stato di grande aiuto, ti ringrazio.

Cercherò di applicare la medesima pratica a tutti i siti, in modo da non dover avere più "paura" in caso di problemi inattesi, e valuterò se cambiare antivirus!
Grazie ancora!

[mau_develop]

infatti, quando era capitato a me non avevo nemmeno cambiato la pw al db convinto che li non ci sia riuscito ad arrivare.
Non tutte le vulnerabilità permettono di fare tutto e magari (sicuramente) non era nemmeno negli interessi dell'attaccante rubarti o manomettere qualcosa.
Se poi sono passati dal server sono tutte cose che fanno con tool, nemmeno c'è dietro un ragionamento dedidicato, solo un'azione massiva un po' rozza ... se va'... va'.

Complimenti per l'ordine, credimi che serve tantissimo quando si hanno problemi di qs tipo.

M.