Pishing su sito joomla

[GianSaluggia]

Chiedo consiglio ad esperti.
Un sito realizzato in joomla 2.5.8 è stato infettato.
Chi gestisce il sito ha ricevuto una email da: Kriminalpolizeiinspektion - Ciberkrime
che dice (in parole povere): il sito è malicous.
e indica le pagine che fanno riferimento a pishing (nel template beez5/login.php e beez5/dee.html).

Effettivamente ho trovato tramite ftp file che non c'entrano con beez.
Ho scaricato il template e risulta infetto a scansione (Trojan php:agent-cf ; Redirector ; e Jifas-ed).

Ho scaricato tramite ftp tutto il sito: e tutto è infetto da questi trojan.

.... ma il database no.

Ora mi chiedono di sistemare il tutto (io riparo i danni di altri e non ne ho i riconoscimenti .... miseriaccia).

Volevo recuperare il database, che alla scansione sembra non infetto:

Cosa ne dici? lo posso fare?

Per favore, chiederei il parare di senior non di junior. Abbiate pazienza... comprenderere la situazione.
Grazie

[BelinBelan]

buongiorno,


vedo che hai messo qui tante idee e ben confuse 


La mail che hai ricevuto mi puzza di Spam e come tale la ignorerei, visto che il template "incriminato" non c'entra come affermi.


Con cosa hai fatto la scansione "antivirus" del database???   No perché la cosa mi sfugge e se mi insegni imparo magari qualcosa di nuovo 


Con cosa hai fatto la scansione del template risultato infetto?


Mi sa tanto che se non ci dai anche un link al sito "infetto" segnalato dalla KriminalPolizei !!! (addirittura) non ti potremmo aiutare...


Capisci anche noi... 

[GianSaluggia]

Mi sono fatto anch'io una bella risata... 
Ora provo a rispodere.

Come si fa la scansione di qualcosa che è on line, chiedi?
Risposta: la si scarica tramite ftp sul proprio pc e si avvia la scansione.

Come si fa la scansione del databse mysql?
Risposta: non hai mai fatto un backup di un database mysql? Beh, ho fatto la scansione del backup.

Come mai dico che beez5 è infetto?
Risposta: e che ci fanno quei file dentro beez5? login.php e altri 15 che nel mio beez 5 non ci sono? Ho fatto la scansione di tutta la cartella scaricata sul mio pc e risulta infetta.

Verrebbe ora da dire: ma magari l'antivirus si sbaglia trattandosi di codice php!
E mi rispondo da solo: e allora perché ai backup dei miei siti non risultano infezioni mentre a questo backup si? E oltre tutto ho il dubbio che la email ricevuta sia vera.

A idee esposte in modo confuso non sempre corrispondono idee confuse. Comuqneu spero ora di aver chiarito ogni quesito.

Ma attendo ora una risposta da qualcuno che abbia conoscenza della questione da me esposta nel prio post: Cioè: il database secondo voi, sarà infetto oppure lo posso usare?

Comunque riguardo alla email poliziesca io stesso sto cercando di verificare l'attendibilità tramite il sito di questa agenzia investigativa.

A già: il link al sito infetto non lo posso dare: per evitare altre frodi realizzate tramite il sito ho tolto i permessi di lettura (non mi chiedere come ho fatto: l'ho fatto e basta: fidati). 

[Npaquito]

Hola

Risposta: la si scarica tramite ftp sul proprio pc e si avvia la scansione.
.....

Con il PC avviato in modo sicuro? e con quanti antivirus?

Risposta: non hai mai fatto un backup di un database mysql? Beh, ho fatto la scansione del backup.
....

Cosa hai scansionato il testo piatto?

Ma attendo ora una risposta da qualcuno che abbia conoscenza della questione da me esposta nel prio post: Cioè: il database secondo voi, sarà infetto oppure lo posso usare?

Non lo sappiamo non abbiamo letto il contenuto del file, e domando: hai trovato del codice infetto leggendo i dati?

[GianSaluggia]

Grazie dell'interessamento (anche a BelinBelan naturalmente... ancora rido del suo spirito).

Risposta a 1: Se non sbaglio non c'è scansione da FTP. E FTP non esegue ma semplicemente sposta files. Quindi, penso, non è possibile prendere virus tramite spostamento di files.
I files scaricati li ho aperti solo con blocco note e wordpad, che anche questi non eseguono.
Non ho aperto file php on line.
La scansione l'ho fatta poi con Avast successivamente e poi in modalità "all'avvio del PC". E in entrambi i casi mi segnala trojan.
Anche alla spedizione dei files via email segnala trojan e viene impedita la spedizione.
Ora ho tolto tutto dal mio pc e messo su una penna che non userò più. A scansione (sempre "dall'avvio") non mi segnala più virus.

Risposta 2: si, ho scansionato il testo del database piatto, in formato .sql. Il virus, sapevo, è "codice" e quindi pensavo fosse rintracciabile nel codice piatto. Non è così? Veramente chiedo, perché non lo so.

Risposta 3: Non so leggere codice, e tanto meno l'infetto. I file php e html non li ho potuti spedire a nessuno via email perché la protezione di avast me lo impedisce trovandovi dei trojan.

Ora capisco (così mi pare) che voi "leggete il codice" per verificarne l'infezione: gulp! complimenti.
Secondo te allora dovrei mandare l'intero database? Ma mi domando io a questo punto, come si fa a trovare codice infetto in un intero database? Ci sono forse dei programmi appositi?

Devo dire la verità che semplicemente pensavo, rivolgendomi a voi, mi avreste risposto: "vai tranquillo, perché nel database non vanno mai virus". Oppure al contrario: "Eh si, purtroppo nei database vanno virus ma è possibile pulire... in questo modo...". O Infine: "Lascia perdere, butta il database, perché non è possibile farci niente".

E' la prima volta che mi capita un problema di questo genere e tutto quello che mi dirai sarà per me oro.
Grazie.

[Npaquito]

Hola

Commento generale: la scansione (meglio se con due anti virus) serve per trovare codici maligni dipendendo dal linguaggio di programmazione del virus, ma non serve per tutti i tipi di codice e linguaggi (per esempio quelli dentro l'.htaccess).

Risposta 1: qui c'e un equivoco io non parlavo del ftp (che comunque puó essere il causante dell'infezone) bensi della scansione.
Rispostra 2: Non serve a nente scansionare il testo piatto, devi leggerlo ed eventualmente eliminare cio che ti hanno inserito.
Risposta 3: sei messo male

[GianSaluggia]

• le infezioni le ho trovate solo sul cms che ho scaricato tramite ftp da uno spazio web che non gestisco io: chiedono a me di riparare.

• Non ho aperto nessun file del cms una volta sul mio pc: e quindi non si è attivato niente. E quindi è proprio difficile che abbia preso il trojan.
• Infine: cercando sul sito della polizia criminale tedesca "cibercrime", avrei trovato la persona che ci ha contattato per avvisarci del problema sul sito.

Il codice eventualmente lo mando a lui, visto che me l'ha chiesto dicendomi di scaricarlo tramite ftp e di spedirglielo.
Se mi dice lui cose sbagliate che è del lavoro....!

Intanto almeno ho capito che il codice piatto non è verificabile tramite antivirus. E effettivamente mi è sufficiente.
Grazie.

[mau_develop]

quanta fatica inutile quando si può sovrascrivere con file puliti ....

[BelinBelan]

Ciao e perdonami lo spirito ma ti giuro non ho mai letto tante cose ingenue (in senso buono eh!) una dietro l'altra

Un consiglio da uno sprovveduto:

1) disintalla i template che non usi specialmente beez e altri
2) segui il consiglio mwc e sovrascrivi i file
3) lascia perdere la mail che tanto è una bufala: ma si è mai vista una autorità che scrive a chi, poi?
4) eventualmente fai la scansione con più antivirus
5) i Db (tranquillo) non si infettano, al massimo di cancellano, rovinano, alterano

[mau_develop]

ma si è mai vista una autorità che scrive a chi
---------------------------------------------------------------
scherzi? .... hanno anche una pagina su facebook

...comunque se proprio vuoi proseguire per la "via della rimozione" prova a cercare lo script di individuazione del malware che credo stia nella jed... nn ricordo dove l'ho visto ma l'ho aperto e mi sembrava abbastanza valido come codice... certo non arriva su tutto...

[BelinBelan]

ahhhh vedi? Non si finisce mai di imparare!!!

ah quasi quasi gli metto "mi piace" e voglio "diventare amico"

Questa dev'essere roba per Paolo Attivissimo...

[GianSaluggia]

Benissimo. Vai con Paolo Attivissimo. (Chi è?)
Belin Belan: fatto scansione con due antivirus: pulito. Evviva.
Autorità criminale informatica tedesca: ti do la pagina: http://www.polizei.bayern.de/kriminalitaet/internet/index.html
Ho anche l'indirizzo email di chi mi ha scritto (lavora lì).
Riguardo al sovrascrivere i file del CMS: è perche pensate che avrei chiesto a voi se non per sapere appunto se il database è infettabile? Di conseguenza avrei sovrascritto.
Non sebrano a questo punto tanto ingenue le mie richieste. Forse nuove...

[BelinBelan]

Dai, si ride perché di queste cose se ne legge a iosa e manco una fosse vera.

Cmq, per tranqulizzarti, il Db secondo me non è infetto, sovrascrivi tutti i file, disinstalla tutti i template tranne quello in uso e vedrai che in pochi minuti non avrai più segnalazioni.

Ciao e buon fine settimana 

[GianSaluggia]

Certamente. E stavo allo scherzo. Anzi, mi appassionava il dibattito.
Mi piacerebbe avere comunque il parere di altri sul database se è infettabile.
Perché qualcuno, non ricordo chi in questo topic, diceva qualcosa a proposito.
Buona domenica anche a te e a tutti voi.