BlackHole Exploit Kit: problema di joomla oppure no?

[MasterTheBest]

Ciao a tutti, avrei una questione singolare da porre in esame.


A quanto pare, visitando uno de siti che gestisco tramite win e antivirus non aggiornati, ho il warning da parte dell'antivirus con BlackHole Exploit Kit come oggetto.


Usando win7+antivirus aggiornati, non riscontro nessun problema su tre browser (opera, firefox,chrome), lo stesso su linux.




Il sito, è gestito con joomla 2.5.4, phoca gallery e nivo slider.


Cercando in rete BlackHole Exploit Kit ho trovato

Blackhole exploit kits are based on PHP and a MySQL backend and incorporate support for exploiting the most widely used and vulnerable security flaws in order to provide hackers with the highest probability of successful exploitation. The kits typically target versions of the Windowsoperating system and applications installed on Windows platforms....

È un problema di joomla?

[jeckodevelopment]

le estensioni sono aggiornate?
L'ultima versione di Joomla è la 2.5.6 (fresca fresca di oggi)

sistemi di statistiche strane?
fai un controllo del codice della pagina (anche con il "visualizza sorgente" di Firefox) se trovi qualche cosa codificata in base64 è molto probabile ti abbiano iniettato qualcosa!

P.S. se trovi codice dannoso, ovviamente non inserirlo qui!

[mau_develop]

http://sitecheck.sucuri.net/scanner/

M

[MasterTheBest]

Allora, avevo quickly ma l'ho rimosso: oltre al codice di google analytics nothing.


Ora ho rimosso tutto e ricaricherò un pezzo alla volta scannerizzandolo con sitecheck. Grazie jeckdevelopment e mau_develop

[grunge]

Ciao a tutti.
 
 Utilizzo questo topic per non aprirne un altro. Spero di far bene visto che il problema è lo stesso.
 
 Intanto perdonatemi perchè sono totalmente ignorante sulla questione ma soprattutto sulle indicazioni che date per cui devo fare da tramite (se non risolvo da solo) tra chi mi darà risposta e altra persona (lo so è difficile ma per ora così)
 
 Il ns. sito quando viene aperto con Firefox fa scattare un alert da parte di AVG con il seguente messaggio (vedere allegato).
 
 Premetto che pensavo fosse un problema da addebitare al gestore con cui mi connetto o all'host dove ho appoggiato il dominio. Invece NON è così e mi sento di puntualizzare alcune cose:
 
 1) mi capita solo con FIREFOX
 2) non capita solo a me
 3) ad alcuni che hanno firefox NON capita (ma è una questione di impostazioni riguardanti la sicurezza)
 4) NON capita con altri browser
 5) ho fatto una scansione (come suggerito da Voi) con sucuri sitecheck e mi da tutto NEGATIVO
 
 quale è la prossima mossa che devo attuare per risolvere questo fastidioso problema?
 
 Il sito è fatto con joomla 1.5.20 e non viene aggiornato con le versioni più nuove perchè abbiamo dei moduli che non funzionerebbero (così mi è stato detto)

Grazie a tutti

[allegato eliminato da un amministratore essendo vecchio più di un anno]

[jeckodevelopment]

ciao grunge,
è errato quello che dici!

 Il sito è fatto con joomla 1.5.20 e non viene aggiornato con le versioni più nuove perchè abbiamo dei moduli che non funzionerebbero (così mi è stato detto)

devi urgentemente aggiornare alla 1.5.26, essendo della stessa serie non avrai problemi di compatibilità dei moduli.
ti consiglio inoltre la lettura di questo post: http://forum.joomla.it/index.php/topic,117151.0.html

[grunge]

ciao grunge,
è errato quello che dici!devi urgentemente aggiornare alla 1.5.26, essendo della stessa serie non avrai problemi di compatibilità dei moduli.
ti consiglio inoltre la lettura di questo post: http://forum.joomla.it/index.php/topic,117151.0.html

Intanto Ti ringrazio della risposta.

Avevo già letto un po' ma poi l'ho passato a chi di dovere che ci capisce più di me.

Anche il consiglio prezioso che mi hai dato è stato inoltrato.

Però c'è qualcosa di strano: da ieri mattina questo avviso NON si fa più vedere. L'unicissima cosa che è stata fatta è stata quella di aggiornare Firefox all'ultima versione. Tra questa e la precedente NON è cambiata nessuna impostazione; allora mi domando:

non potrebbe essere stato un problema della penultima versione di firefox che dava degli input che generavano falsi riscontri riguardante i virus?

P.S. ciò non toglie che seguiremo il consiglio che ci hai dato.

Buona giornata a tutti

[tomtomeight]

Scusa ma non mi sembra corretto chiedere quì nel forum e poi far vagliare le risposte a chi ne capisce  di più, mi sembra dover passare un esame, dì alla persona che ne capisce di più di dialogare direttamente, non lo mangiamo mica.

[grunge]

Scusa ma non mi sembra corretto chiedere quì nel forum e poi far vagliare le risposte a chi ne capisce  di più, mi sembra dover passare un esame, dì alla persona che ne capisce di più di dialogare direttamente, non lo mangiamo mica.

SCUSA MI SONO ESPRESSO MALE.

Non qui nel Forum, ma chi mi aiuta nella gestione del sito. È lui che ne capisce più di ME. Il capisce di più è riferito a ME non a Voi, ci mancherebbe altro.

Voi siete di grande aiuto; io faccio da tramite perchè colui che mi aiuta non ha possibilità di dialogare direttamente con Voi non potendo collegarsi dal lavoro. Poi quando ci troviamo io riporto i Vostri consigli preziosi.

Nessun esame di niente. Ripeto: a chi ne capisce di più È RIFERITO A ME NON A VOI!

Mi dispiace aver causato questa incomprensione! 

[tomtomeight]

Ok ok come non detto.

[Knock]

Salve a tutti, mi scuso se riprendo questo topic ma come da oggetto ho 6 siti web (realizzati tutti con Joomla!) con il seguente problema.

Ho contattato il mio hosting e condivido con voi la loro risposta. Spero di essere stato di aiuto

in merito alla sua segnalazione abbiamo effettuato le opportune verifiche individuando alcuni file nei quali è stato inserito codice malevolo e la informiamo che dalle nostre analisi riteniamo che la causa siano Trojan che provvedono ad infettare il Client per effettuare lo "stealing" dei dati sensibili quali dati di accesso Ftp e Carte di Credito per poi utilizzare questi ultimi per infettare altri pagine e diffondere ulteriormente il Trojan.Tra questi Trojan si denotano "Zeus" e "Gumblar" e "Koobface" dei quali potrà trovare informazioni dettagliate ai seguenti links di note società di Sicurezza:

http://vil.nai.com/vil/content/v_143802.htm
http://www.bitdefender.com/VIRUS-1000496-en--Trojan.Spy.Zeus.W.html
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99

http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29
http://en.wikipedia.org/wiki/Gumblar
http://it.wikipedia.org/wiki/Botnet
http://it.wikipedia.org/wiki/Koobface

Come si riscontra da tali link questi Malware infettano i Pc dei Client e provvedono a rubare i dati di accesso Ftp e in un secondo momento ad utilizzarli in massa per effettuare iniezioni di codice al fine di infettare il maggior numero di siti così da propagare la diffusione del Malware. Teniamo a sottolineare che i Trojan di ultima generazione quali quelli indicati non sono rilevati dai maggiori Antivirus poiché utilizzano tecniche di infezione che modificano il "kernel" del sistema operativo rendendo loro stessi invisibili.

http://news.softpedia.com/images/news2/Poor-Hooks-Implementations-Leaves-Most-Antivirus-Products-Vulnerable-3.jpg

All'url indicato potrà trovare una lista di tutti i maggiori AntiVirus vulnerabili a tali generi di Malware."...The virus will find FTP clients such as FileZilla  and Dreamweaver and download the clients' stored passwords. It also enabled promiscuous mode on the network card, allowing it to sniff local network traffic for FTP details. It is one of the first viruses to incorporate an automated network sniffer......using passwords obtained from site admins, the host site will access a website via FTP and infect the website...."Da tali informazioni e dalle verifiche effettuate riteniamo che la problematica da lei riscontrata scaturisca da tale infezione la invitiamo gentilmente ad effettuare una approfondita scansione delle postazioni da lei utilizzate per gestire il suo sito con il seguente Removal

Tool:
http://www.novirusthanks.org

Qualora tale software individui infezioni nella sua postazione la invitiamo gentilmente a fornirci i risultati e ad indicarci il nome del Malware/Trojan individuato così da avere maggiori informazioni al riguardo.Una volta effettuata tale pulizia la invitiamo ad effettuare un cambio password dei dati di accesso così da avere la certezza che non siano tra quelli utilizzati da coloro che hanno creato tale Botnet.

Oltre ciò raccomandiamo di effettuare le consuete operazioni per mantenere sicuro il proprio Pc aggiornando costantemente i Software Antivirus e AntiMalware utilizzati.

[MasterTheBest]

Ma un piccolo elenco dei file infettati?
Comunque sia, quali plugin sono installati? Aggiornato all'ultima versione? I plugin sono stati riadattati correttamente, oppure no?
More info, plis! 

[Knock]

Quando li troverò  ti dirò. Versioni di joomla infette, da 1.5 alla 3.0. Ma non è  un problema di joomla, che sia chiaro. Se segui la linea guida del mio hoster capirai. Comunque il primo file "corrotto" è htaccess.

[Knock]

Nell index.php dei template ho trovato il codice malevolo.