Autore Topic: Rimuovere il codice malmware malevolo da un sito web (Letto 18140 volte)

lucia86 · « **il:** 09 Lug 2012, 17:14:29 »

Il mio sito è stato attaccato da un hacker ed è stato creato un redirect a un sito esterno. Il malmware è stato rimosso ma il sito è sempre segnalato come pericoloso perchè non riesco a trovare e rimuovere il codice malevolo. Ho cancellato htpaccess e robot dal server.. nella index non ho trovato il codice. Ho usato gli strumenti per webmaster di google e dopo aver rimosso tutto mi è stato detto che bisogna trovare e rimuovere il codice malevolo all'interno delle pagine. Come faccio a sapere dove si trova? Qualcuno sa aiutarmi?

mau_develop · « **Risposta #1 il:** 09 Lug 2012, 18:53:56 »

. Il malmware è stato rimosso ma il sito è sempre segnalato come pericoloso perchè non riesco a trovare e rimuovere il codice malevolo.
------------------------------------
quindi cosa hai rimosso?

fai un backup di files e database e zippali e tieniteli da parte.
sovrascrivi tutti i files con queli di un pacchetto nuovo della stessa versione del tuo joomla con filezilla

prima di fare questo non aprire il sito e assicurati con almeno 2 antivirus di non avere problemi al pc (scansioni in modalità provvisoria)

M.

lucia86 · « **Risposta #2 il:** 09 Lug 2012, 23:37:12 »

dice che ha rimosso un software che installava questo codice ma il codice si deve rimuovere a mano.
rischio che il sito non funziona più sovrascrivendo con la stessa versione di joomla?

mau_develop · « **Risposta #3 il:** 10 Lug 2012, 10:41:32 »

perchè ora funziona? ... tutte le volte che lo apri ti riprendi pure il malware sul pc....
no, se non fai cose strane dovrebbe funzionare tutto, certo qualcosina a mano sarà da sistemare e poi con un backup il rischio di perdere qualcosa è = 0
M

lucia86 · « **Risposta #4 il:** 10 Lug 2012, 10:52:55 »

ho fatto come dici tu ho rimesso la stessa versione di joomla e del template. Il sito va benissimo ma è sempre considerato malevolo!!! Non credo che riprendo il virus perchè l'antivirus dice che è stato rimosso il programma che ha installato il codice malmware e che si tratta di un codice malware che fa un redirect su un sito. Cosa mi consigli???

mau_develop · « **Risposta #5 il:** 10 Lug 2012, 13:52:55 »

se hai fatto tutto correttamente significa che il malware sta anche su files che non fanno parte del core di joomla, molto probabilmente o c'è una shell o sono state iniettate anche le estensioni che hai installato.
Dovresti fare la stessa operazione per le estensioni.

Forse più semplice sarebbe installare tutto nuovamente, core ed estensioni, poi scambiare i database... l'unica cosa che dovrai riallineare sarà il template.

un link al sito?

M.

lucia86 · « **Risposta #6 il:** 10 Lug 2012, 15:40:35 »

cosa si intende con scambiare i database?

mau_develop · « **Risposta #7 il:** 10 Lug 2012, 16:14:29 »

usare quello che appartiene alla versione bucata ( e che probabilmente è integro, l'iniezione è nei files)
invece di usare quello che viene generato nella nuova installazione di joomla.

Però non ti sento molto sicura e smanettare su files e database richiede un minimo di competenza, se è un sito professionale ti consiglio di farti aiutare da qualche amico/collaboratore

M.

Arkimede360 · « **Risposta #8 il:** 10 Lug 2012, 16:16:34 »

Hai risolto? Di solito goggle ci mette un po' prima di riammete il sito. Almeno il tempo di rivisitarlo ed accertarsi che sia tutto ok.

mau_develop · « **Risposta #9 il:** 10 Lug 2012, 16:19:42 »

Di solito goggle ci mette un po' prima di riammete il sito.
-------------------------------------
in che senso? ... non mi sembra che google l'abbia bannata o messa in qualche blacklist... magari non l'ho capito io....

M.

Arkimede360 · « **Risposta #10 il:** 10 Lug 2012, 16:26:14 »

Citazione

Il malmware è stato rimosso ma il sito è sempre segnalato come pericoloso perchè non riesco a trovare e rimuovere il codice malevolo.

(nel primo post)

Io ho capito che Google gli segnala il sito come pericolo anche se il malmware è stato rimosso. L'eliminazione della segnalazione di Google non è automatica.

Un mio amico ha avuto un problema simile e dopo aver eliminato il codice "malevolo" nel giro di qualche ora Google ha eliminato la segnalazione al momento in cui si accedeva al sito.

..ho capito male?

lucia86 · « **Risposta #11 il:** 10 Lug 2012, 16:37:23 »

google dice

Alcuni URL su questo sito reindirizzano i browser a pagine web che installano malware. Questo significa che il/i server che ospitano le pagine del sito potrebbero contenere file di configurazione alterati (come file .htaccess di Apache).

lucia86 · « **Risposta #12 il:** 10 Lug 2012, 16:38:13 »

Alcune pagine infette sono elencate di seguito, ma la loro rimozione non è sufficiente a sistemare il tuo sito. Devi identificare e risolvere le vulnerabilità sottostanti. Come ripulire il tuo sito.
Mi segnala 5 pagine del sito

Arkimede360 · « **Risposta #13 il:** 10 Lug 2012, 16:48:58 »

ci dai il sito?

mau_develop · « **Risposta #14 il:** 10 Lug 2012, 17:03:00 »

mmhhh ho guardato un'attimo il sito in questione... c'è un sacco di roba installata oltre il core e non sembra nemmeno aggiornato... in parole povere...un casino se non sei abbastanza pratica di joomla e del web in genere...

Se vuoi io ti cerco di guidare ma non è semplicissimo...

molto più semplice sarebbe reinstallare tutto daccapo e poi scambiare i db come dicevo prima... anche quello però è un bel lavoro!

purtroppo non si dovrebbe mai arrivare a questo punto, i backup sono indispensabili così come la manutenzione di qualsiasi cosa web exposed

M.

lucia86 · « **Risposta #15 il:** 11 Lug 2012, 12:17:49 »

c'è qualcuno che vuole aiutarmi?

!!!!!!!!

mau_develop · « **Risposta #16 il:** 11 Lug 2012, 17:25:30 »

..ascolta... suggerimenti te ne sono stati dati a palate inoltre non hai nulla di diverso degli altri 6000 post di qs sezione.

Se ancora gridi aiuto vuol dire che nonostante tutto ti mancano le conoscenze per fare qualsiasi cosa e così non risolvi un malware per il quale a volte necessitano interventi mirati.

M.

lucia86 · « **Risposta #17 il:** 11 Lug 2012, 19:21:19 »

il virus l'ho rimosso con un antivirus online ora il problema è che sul server questo virus che era un software ha installato del codice segnalato malevolo che è un codice che manda un redirect a un sito web. Quindi bisogna togliere quel codice e io non lo trovo, ho reinstallato anche il core di joomla e il template ma il sito continua ad essere segnalato come malevolo! Non conservo il backup del sito e il database prima dell'infezione!!

peppe990 · « **Risposta #18 il:** 12 Lug 2012, 13:05:42 »

Se hai installato una versione "pulita" di joomla ed il problema persiste credo, ma qui l'esperto è mau_develop, che il problema possa essere nei server dove è hostato il tuo sito.
Hai provato a parlare con l'assistenza tecnica del tuo hosting?

lucia86 · « **Risposta #19 il:** 12 Lug 2012, 13:26:05 »

ho reinstallato il core e il template originali, ora mi chiedo se provo a cancellare i componenti, moduli e pluging in più che non fanno parte del core di joomla posso scoprire se il codice risiede in questo posto? cioè cancellandoli, se il codice malmware è presente lì il sito dovrebbe non essere più segnalato come malevolo? Se rimuovo il codice la segnalazione all'istante dovrebbe sparire?

mau_develop · « **Risposta #20 il:** 12 Lug 2012, 13:32:45 »

è solo un rompiballe dammi retta

è molto difficile aiutarti perchè un malware o un virus sono cose molto delicate... sia in medicina sia in informatica.
Non puoi far cose approssimative o che non capisci, esempio ne è questo:

Citazione da: mau_develop - 09 Lug 2012, 18:53:56

....assicurati con almeno 2 antivirus di non avere problemi al pc (scansioni in modalità provvisoria)

Citazione da: lucia86 - 11 Lug 2012, 19:21:19

il virus l'ho rimosso con un antivirus online...........

M.

lucia86 · « **Risposta #21 il:** 12 Lug 2012, 14:43:42 »

ho notato che sul sito c'è un codice che si reinstalla nel template in automatico ricaricando il configuration.php del sito compromesso. Se installo il template originale il codice scompare.. non ci capisco più niente...

mau_develop · « **Risposta #22 il:** 12 Lug 2012, 17:50:31 »

appunto... guarda che non è un'offesa, veramente non è semplice risolvere il problema a distanza perchè basta un click sbagliato e riparte tutto....

Io ricomincerei da 0 reinstallando tutto su uno spazio pulito e un pc accuratamente "disinfettato" offline.

..alla fine ci sarà da fare abbondante turpiloquio nell'unione col vecchio db... ma è l'unica via che puoi percorrere da sola.

Se la vuoi percorrere devi rispettare un ordine:

1) Backup files e database in due cartelle diverse e conservarle zippate sul desktop
2) Certi di avere il backup, cancellare tutto sullo spazio remoto e tutto le tabelle del db se non si hanno più db a disposizione, altrimenti usarne un'altro per la nuova installazione.

DA QS MOMENTO LA CARTELLA COI FILES ZIPPATI NON DEVE PIU ESSERE APERTA

3) scansione offline con 2 antivirus e solo quando tutto è a posto si può cominciare a reinstallare tutto.
4) Se si gestiscono altri siti attenzione che sicuramente vi siete portati dietro tutto.
5) finito di reinstallare Joomla passate alle estensioni che erano presenti scaricando NUOVAMENTE le ultime versioni e reinstallandole.

Il template di prima puoi reinstallarlo solo se lo riscarichi, non usare il precedente, poi se ti servono i css vediamo come recuperarli.

..non c'è molto altro da dire anche perchè se vedi in giro sono sempre le solite cose, solo che bisogna farle e farle bene.

M.

lucia86 · « **Risposta #23 il:** 12 Lug 2012, 18:10:44 »

Sul sito c'è un forum e se fosse partita da lì l'infezione? non conviene reinstallare almeno i moduli e i componenti che li riguardano?

lucia86 · « **Risposta #24 il:** 13 Lug 2012, 16:31:39 »

mi sono appena accorta che stotto alla barra quando apro il sito esce scritto in attesa di collegamento da methuenedge.com quindi vuoi dire che il virus c'è ancora?