Web attack mass injection website

[atlpaperino]

Buongiorno a tutti , stamani all'apertura del sito www.laurenzianabasket.it il mio antivirus norton ha rilevato la seguente intrusione

Web attack mass injection website

url aggressore : www.laurenzianabasket.it/media/system/js/mootools.js

Versione joomla 1.5.26

Potete darmi qualche indicazione su come risolvere il problema e se è il caso di mettere il sito off line ??

Grazie Marco

[giusebos]

Se leggi l'articolo del primo post di questo forum, trovi tutto quello che devi sapere su come ripristinare il sito. 

[atlpaperino]

Grazie della risposta , vorrei se posso aggiungere un paio di informazioni , in modo anche da capire meglio

- perchè collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?

-Ho creato una pagina statica Index.html e l'ho messa on line ( ho rinominato momentanenamente la index.php  in index1.php) così facendo il messaggio di attacco non viene + visualizzato .... domanda sciocca ma non basterebbe ripristinare la index.php ??

So gia che non è così , ma era giusto per imparare meglio

Grazie Marco

PS: inloltre mi servirebbe un consiglio , visto che ero intenzionato a passare alla versione 2.5 ,  e mi interessava recuperare gli articoli e le immagini secondo voi quale è la procedura + rapida ?

1) cancellare tutto e ripartire con una nuova installazione di joomla 2.5 e poi inserire di nuovo tutti gli articoli ( è una procedura difficile ??) e tutte le immagini?

2) tentare di recuperare il sito con la guida consigliata , e poi fare la conversione alla 2.5 ?

Grazie

[mau_develop]

 perchè collegandomi al sito in questione da 2 pc diversi ( in rete ) che hanno la stessa versione di antivirus , la stessa versione di browser ,ma sistemi operativi diversi ( uno a win xp e l'altro win 7 ) sul primo viene fuori l'attacco e sul secondo no ?
----------------------------------
beh qs domanda la puoi fare a microsoft

-Ho creato una pagina statica Index.html e l'ho messa on line ( ho rinominato momentanenamente la index.php  in index1.php) così facendo il messaggio di attacco non viene + visualizzato .... domanda sciocca ma non basterebbe ripristinare la index.php -----------------------------------------
non è sciocca è "al vento"... come si fa a sapere cosa si può fare non sapendo cosa è successo e cosa è compromesso?  ..può darsi di si può darsi di no..

PS: inloltre mi servirebbe un consiglio , visto che ero intenzionato a passare alla versione 2.5 ,  e mi interessava recuperare gli articoli e le immagini secondo voi quale è la procedura + rapida ?
-------------------------------------------------------
cercare se esiste o scrivere uno script di migrazione dei soli articoli

1) cancellare tutto e ripartire con una nuova installazione di joomla 2.5 e poi inserire di nuovo tutti gli articoli ( è una procedura difficile ??)
--------------------------------------------
...è stato difficile inserirli fino ad ora? ... tanto devi fare copia incolla... diciamo che è una smaronata, più che difficile

e tutte le immagini?
------------------------------
in che senso?... le ricarichi dove erano...non prima di aver verificato che ognuna sia effettivamente un immagine e non una shell per lavorare sul sito lasciata lì dal tuo attaccante.

M.

[Npaquito]

Hola
 
 

Buongiorno a tutti , stamani all'apertura del sito il mio antivirus norton ha rilevato la seguente intrusione

Web attack mass injection website
...

Ma questo vuol dire che sei stato hacckerato o che uno dei due antivirus da i numeri? hai fatto una  comprovazione esterna?
 

[mau_develop]

... si appunto...

M.

[atlpaperino]

ragazzi scusate , ma non ho capito cosa intendete per comparazione esterna ? se ho provato ad accedere al sito anche da altri pc ??

si , su alcuni l'antivirus trova l'attacco su altri no

Non riesco ad uscirne vivo , ho provato  a sovrascrivere i file con un salvataggio abbastanza datato ( sul sito c'è installato akeba ) e continua a venire fuori l'alert di norton

non so cosa fare

Grazie ciao

PS : mentre attendevo qualche "dritta" , mi son oaccorto che il menu del backend ( quellodove c'è menu -contenuti ecc ecc - non è piu utilizzabile ( non posso cliccarci sopra) .. secondo voi è sintomo di hackeraggio?
Inoltre sono andato ancora + indietro con il salvataggi e sono arrivato ad una versione che però mi riposta alla 1.5.25 , dove però il menu è tornato ad essere attivo .. che faccio prendo questo punto per buono ? e da li riparto con l'aggiornamento alla 1.5.26 e con il reinserimento di tutti gli articoli mancanti ? e poi passo alla 2.5 ?

[Npaquito]

Hola

...
non so cosa fare
...

Metti il sito online, te lo diciamo noi

Non preoccuparti dell'aggiornamento fino a che non abbia risolto questo problema

[atlpaperino]

ok , grazie ..  allora il sito è offline , ma con sopra una versione del 25.02.12 con joomla 1.5.25 ... che credo non sia hackerata ( non posso verificarlo con certezza perchè dal pc di casa con avasta non da nessun sgnale di intrisione )

se vuoi posso rimettere ( solo domani mattina )la versione che c'era stamani , cioè quella con joomla 1.5.26 e i file aggiornati ad ieri

fammi sapere ... di nuovo grazie

Marco

[Npaquito]

Hola

Io devo vedere online il sito per cercare, dimmi quando sará e daró un'occhiata

[atlpaperino]

Ok .. rimesso un line sito con ultima versione , attendo tue notizie

Grazie !!!! Ciao Marco

PS se può servirti , ti allego  la videata dell'attacco rilevata da norton

[allegato eliminato da un amministratore essendo vecchio più di un anno]

[Npaquito]

Hola

A me non risulta attaccata, rivedi le impostazioni dell'antivirus

[atlpaperino]

da una parte la tua affermazione mi fa un immenso piacere ,( sei sicuro al 100% ?) dall'altra mi mette ancora + in confusione

- fatta una prova su un'altro pc con antvirus ( AVG)diverso e viene sempre fuori un alert ( ma a te non viene fuori nulla ?)

-altre persone mi hanno contattato per dirmi del problema ( non so che antivirus abbiano)

- continuo a non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile

Mi dispiacerebbe distruggere tutto , ma così non posso andare avanti

Ti allegao anche l'immagine che mi ha mandato un amico , con diverso antivurus rispetto al mio ... quindi se non un attacco ... come risolvo il problema ?

Grazie ciao


[allegato eliminato da un amministratore essendo vecchio più di un anno]

[Npaquito]

Hola

...
A me non risulta attaccata...

 

... sei sicuro al 100% ?...

No
In quel momento ho fatto un analisi esterno che ritengo affidabile, non ho controllato tutte le righe di codice dei 4.500 file del tuo sito e, per tanto, non posso sapere se il hack é programmato per attivarsi solo i giorni che segna Pirlo

[atlpaperino]

quindi se non ho capito male , per la tua esperienza  esclusi momentaneamente che sia un attacco e quindi come mi comporto ? non posso tenere on line un sito che genera problemi ..... e non posso nemmeno dire a tutti di modificare le impostazioni dell'antivirus :-)

scusa se mi ripeto .. ma il fatto di non avere la possibilità di accedere al menu dal backend ( sito , menu contenuti) non è cliccabile è risolvibile ?

inoltre i 2 js ( mootools e caption ) che danno  problemi a cosa servono ?

Scusa ma è una situazione che le mie conoscenze non mi permettono di risolvere ... se non distruggendo tutto

Grazie e scusate
Marco

[Npaquito]

Hola

Io ti posso dare le mie opinioni ma il sito è tuo e le decisioni le devi prendere te

[atlpaperino]

a me fa piacere l'opinione di chi è + esperto di me altrimenti non avrei fatto la richiesta di aiuto

quindi spara la tua sentenza :-)

Grazie

PS: ho fatto una prova togliento i 2 JS ( mootools e captions) dal sito e l'alert non appare + . ti può dare qualche indizio in + ? dopo averli tolti rimane sempre il problema che nel backend non posso accedere ai menu ( vedo che non mi dai nessuna risposta a questo problema , sono io che non mi spiego bene o non hai una spiegazione ?)

ciao

[Npaquito]

Hola

Qui siamo sull'inconcreto ma sparo (nessuno mi chiamerà codardo )

I js mootools e caption sono disattivati in tutti i template che ho fatto e i siti funzionano, se a te funziona così, io lo terrei, tra l'altro la pagina impiegherà 2/3 secondi in meno a caricare e peserá 100 kb meno.

Sul problema del backend cerca qual'è il messaggio d'errore (attivando il debug, con i log, ecc...) e parti da li.

[atlpaperino]

Intanto grazie per esserti "esposto" capisco che non è semplice ..... io il problema lo "avrei"  risolto però vorrei la vostra autorizzazione a scrivere RISOLTO sul titolo , nel senso che non so se ho avuto solo fortuna o altro però l'alert è sparito almeno dal mio computer ( il mio amico farà la prova nel pomeriggio)

Ho scaricato una versione completa di Joomla 1.5.26 ho preso il contenuto della catella JS ( media/system/js) e l'ho copiato nella cartella js del mio sito , sovrascrivendo alcuni file

Il problema dell'alert è sparito e anche i menu del backend sono tornati usabili con la loro tendina che scende

secondo voi è stato solo un caso e il problema si potrebbe riproporre ? ( ovviamente lo so benissimo che potete solo esprimere un vostro parere altrimenti sareste maghi  )

Grazie a tutti per l'aiuto e il "sostegno "

Ciao marco

[Npaquito]

Hola

Ti offro una losca componenda:

Aspetti che il tuo amico dia l'OK e scrivi il risolto