SPAM da script del sito

[@kshym]

 Salve.
Sta mattina ho ricevuto un messaggio - allarme dal mio hosting.
tipo: "tra mite un script del vostro sito vine inviato SPAM, si prega di controllare con massima urgenza e risolvere il problema, per evitare la chiusura del hosting"

Chiederei un vostro consiglio come devo cercare questo script, o qualche altro suggerimento come risolvere questo problema.

Non sono tanto pratico, vi ringrazierei anche per una spiegazione più dettagliata.
Se già esiste un tema simile chiedo un link.

Grazie in anticipo e Buona domenica


 

[giovi]

ciao, non sappiamo assolutamente nulla del tuo sito, come mai potremmo aiutarti?

[@kshym]

si, ha ragione,
non sono stato io ad curare ultimamente il sito
sito è gia stato hackerato una volta, lo abbiamo ripristinato da 0.


joomla 2.5, aggiornato da 1.5
tra instalati vedo:
componenti instalati: Akeeba Back up.
moduli: AiDaNews2 e LatestNews Enhanced, e LatestNews Marquee


cosa altro devo scrivere, per dare più informazione che non sono un grande esperto e è la prima volta che mi succede questa situazione,
Grazie

[claudio65]

 Forse se  ci fornisci il link del sito in questione  possiamo comprendere meglio Comunque sono  presenti  registrazioni utente, moduli di contatto senza captcha sul sito?

 

[tomtomeight]

Non serve nessun link e nemmeno cercare lo script, come sempre in caso di violazione, la prima cosa da fare è isolare e poi sovrascrivere tutte le cartelle.

[claudio65]

 Ovviamente concordo con la sovrascrittura, ma se è presente una vulnerabilità non conviene capire quale e dove?
 

[tomtomeight]

Dunque, credo che sia un problema di priorità rendere il sito fruibile per evitare la sospensione, fatto questo si potrà se si vuole cercare la falla come da suggerimento di isolare prima di sovrascrivere.

[mau_develop]

può darsi ma non lo capisci certo dal link... se è link spam ti va bene se è malware te lo pigli, soprattutto se l'obbiettivo è il browser.

"uno script invia spam" non vuol dire che ne hanno per forza installato uno... magari è uno script di joomla abusato

@kshym: ...hai guardato se sono tutti alle ultime versioni quelle estensioni?
sicuri di aver rimosso il malware la prima volta?
senza dirmi il nome... siete su un server serio?

[claudio65]

 Il post si fa interessante per quanto mi riguarda.
Ok,  l'idea del link è chiaramente incauta per i motivi  esposti da MWC.
Per quanto riguarda "isolare prima di sovrascrivere" cosa intendi? Mettere il dominio in sospensione?
Trattandosi apparentemente di Spam non è probabilmente riconducibile alla mancanza di captcha o alla presenza di captcha vulnerabili?
 

[tomtomeight]

Per isolare intendo copiare e mettere al sicuro, per analizzare e indagare circa le cause, in ambiente sicuro e pulito.

[mau_develop]

beh sicuramente non vanno maneggiati in ambiente server ne in locale ne in remoto, inoltre trattandosi di js il limite non è il server ma anche il browser... se apri un file php sul desktop (..a meno di intelligenze bacate di win..nn so)  sicuramente non esegui nessun esploit php. In parole povere i files vanno aperti solo con editor testuali. ... nemmeno usare eclipse o altre ide è una buona idea in quanto hanno symlink o link con i vari ambienti per poter testare gli script direttamente nell'ide.

Sovrascrittura..... se mi metto a fare una guida step by step ci metto ore e un post lunghissimo, se capisci il concetto non serve nulla di questo.
Joomla non crea mai nulla (le estensioni qualcuna si) se installi semplicemente unzippa e sposta al posto giusto delle cartelle e dei files, quindi immaginando che ti buchino un secondo dopo che hai terminato l'installazione per risolvere devi semplicemente ricaricare i files tranne quelli modificati da joomla, configuration.php, che dovrai a prire e controllare.
Se modifichi un template di quelli inclusi nel pacchetto ricaricando i files sovrascrivi le modifiche per cui tutto ciò che hai modificato o lo controlli a mano o lo perdi.

Diventa un po' più complicato se devi ricaricare delle estensioni, perchè devi fare tu a mano quello che fa l'installazione...
Un modo più semplice è costruire in locale un sito identico a quello bucato rispettando le versioni di J e delle estensioni, una volta concluso lo colleghi al vecchio db e poi aggiorni tutto, dopodichè metti online.

Quando si parla di individuare.. cercare etc occorrono conoscenze informatiche, per fare le cose che ho detto occorre più attenzione e concentrazione che altro.... e un pc pulito su cui lavorare.

sul db non scrive nessun esploit, devi prima guadagnarti i privilegi per scriverci o essere già riuscito a caricare una shell... a questi bastano i link spam... se invece ci smanacci non so se alla fine riesci a buttarli dentro tu in qualche edit...

[claudio65]

 Ok anche se fortunatamente non debbo affrontare questo problema, ma per sua sfortuna  deve risolverlo  @kshym, sono moto interessato, non fosse altro che fra i vari post il diretto interessato potrà trovare la strada della risoluzione.

 In passato quando utilizzavo server condivisi mi era capitata un'iniezione di codice maligno che aveva impestato tutti i file index.php di molti siti fra i quali i miei. In quel caso con l'aiuto dei sistemisti avevamo identificato il problema, ma non come si era insinuato. In quella occasione si risolse sovrascrivendo tutti i file index.php con quelli presenti nei backup dei siti e un rafforzamento della sicurezza del server messa in atto dai sistemisti.

 Nel caso specifico esposto da  @kshym, ditemi se sbaglio, dovrebbe sovrascrivere tutti i file con una copia di backup presuntamente indenne da scrip maligni ( è auspicabile che possieda copie di backup vistosi che tra i componenti ha menzionato Akeeba Back up). In merito al DB non credo di aver ben inteso quanto esposto da MWC, comunque anche quello può essere svuotato con phpMyadmnin e ripristinato recuperando successivamente le tabelle con un importazione dal DB di backup.


 Sempre partendo dal presupposto che il problema sia uno script spam come detto nel messaggio iniziale, altra azione utile sarebbe inserire un Captcha robusto tipo ReCaptcha in eventuali pagine di registrazione e moduli contatti.

 Concordate? 
 


 

[@kshym]

Salve e grazie a tutti per le risposte, scusate che non ho partecipato prima, lavoro fino tardi notte.

@kshym: ...hai guardato se sono tutti alle ultime versioni quelle estensioni?
sicuri di aver rimosso il malware la prima volta?
senza dirmi il nome... siete su un server serio?

si avevo controllato, al volo, sono tutte aggiornate, ma faro un altro controllo,
se abbiamo rimosso dalla prima volta il malware?... quando ho cominciato i lavori spazio sul server erà pulito, lo avevano fatto dal server, mi avevano lasciato una cartella con back up     ?...?
se è un server sicuto....è un server fuori Italia e EU, in un paese dove tutti, o tanti siti di valore preferiscono avere un server fuori paese

Si avete raggione, coptcha no c'era, lo messo. Grazie

Vediamo con back up. Non abbiamo un accesso a phpMyadmin, sempre se ci seeviva una db, contattavamo server e loro ci davano codici ecc..

Non sono tanto prattico dove e come cercare il problema, veddiamo se riesco

Grazie a tutti

[mau_develop]

In merito al DB non credo di aver ben inteso quanto esposto da MWC
-----------------------------------------------------------------------------------------------
..è un po' tecnico ... ma solitamente questi attacchi il db manco lo vedono e non arrivano nemmeno a rootare il server ... sono quasi tutte xss permanenti o codice che vai a scrivere tu grazie a qualche malware che risiede sul tuo pc

[@kshym]

Avevo inserito il sito su "google webmaster tools" non ha trovato nessun malware.
avevo instalatoanche in mozilla "Tamper Data" (parlato da M_W_C in questo tema 
se ho capito bene anche non è stato trovatoniente.
Avevo inviato la richiesta al hosting se si continuano invii, dopo di aver inserito CAPTCHA

Buona Giornata

[mau_develop]

infatti a volte è solo una "memoria" di google... basta avvisarli dopo aver , giustamente, verificato con il loro tool
L'altro tool molto valido lo trovi su blog.sucuri

[claudio65]

 Si i DB generalmente e fortunatamente non vengono toccati da questi attacchi, ma nel sfortunato caso in cui si verifichi direi che la strada più semplice ed efficace è quella di ricostruirlo tramite l'importazione del Db di backup, ovviamente bisogna disporre dell'accesso a phpMyadmin, diversamente non so se il componente Akeeba Back up consenta tale importazione lo conosco ma non lo mai utilizzato.
In riguardo al captcha considera che 13 su 15 sono vulnerabili vedi http://www.servermanaged.it/antispam-2/i-meccanismi-di-captcha-13-su-15-sono-vulnerabili-agli-attacchi-automatizzati/  quindi un ReChaptcha sarebbe l'ideale.

 

[@kshym]

Salve,
avevo esaminato e paragotao qualche file del sito.
nel root ho trovato due altri file che non trovo in rootdi nessun altro sito con joomla: 1) .396f.php  e 2) .gitignore   
non so cosa sia.
il promo ha d'entroun codice strano altro niente interesante, avevo aperto con d....r

poi altro, da hosting ci suggeriscono di cambiare il motore da joomla su d...al
nn mi piace questa proposta.... ho un ragone che per motivi di educazione nn posso scrivere

[claudio65]

 Scusa ma non ho la chiave pubblica per decriptare il tuo post in SSL )
 

[claudio65]

Prescindendo dall'incomprensibilità del tuo post, perlomeno per quel che mi riguarda, direi che la cosa più saggia ed utile è quella di seguire il consiglio dato da tomtomeight in prima battuta " Non serve nessun link e nemmeno cercare lo script, come sempre in caso di violazione, la prima cosa da fare è isolare e poi sovrascrivere tutte le cartelle."