Il mio sito viene continuamente hackerato

[marco3253]

Ciao a tutti sono disperato il mio sito viene continuamente hackerato.


prima usavo joomla 1.5 e virtuemart 1.0, veniva bucato e installati file che mandavano email di spam a milioni e il sito mi veniva bloccato dal mantainer.
dopo varie pulizie e infezioni continue migro presso altro mantainer.
Inizialmente tutto bene poi di nuovo, bucato e sospeso dal mantainer.
A questo punto mi decido cancello tutto e installo joomla 2.5 con virtuemart 2.0 e un template nuovo da rockettheme.


inizialmente tutto bene poi di nuovo, 1GB occupato sull'host perchè c'erano milioni di email in uscita pronte di spam.
a quel punto mi stupisco perchè pensavo che risolvessi con la versione nuova...
l'unica cosa ho portato alcune tabelle dal db vecchio tipo lista utenti e lista prodotti, articoli etc.
ora non so più che fare....quando mi collego addirittura ora vedo la schermata in allegato..


siamo hacker turchi, il tempo perdona ma noi non siamo il tempo...


cosa posso fare più? mi hanno preso di mira? come funzionano ste cose?


aiutatemi se avete consigli sono ben accetti...





[allegato eliminato automaticamente dopo un anno]

[giusebos]

leggi la discussione in rilievo in questa sezione

[marco3253]

quale discussione in particolare?

[giusebos]

...perchè sei nella sezione sbagliata.


qui c'è tutto ciò che devi sapere per il tuo ripristino
http://forum.joomla.it/index.php/topic,117151.0.html

[marco3253]

letto tutto, praticamente le infezioni possono essere ovunque...
purtroppo l'articolo non cita mac e safari...come provare a ripulire? dove si annidano le infezioni? moduli? password? cookie?

[giusebos]

...non cita mac e safari...come provare a ripulire? dove si annidano le infezioni? moduli? password? cookie?

Stai vaneggiando, cosa centrano mac cookie e safari con il fatto che ti hanno defacciato il sito.

leggi bene l'articolo, tutto quello che serve per il ripristino è li.

[marco3253]

poi mi drogherò anche io...ma l'articolo parla che i primi infetti sono i browser e i client ftp, volendo..come faccio a controllare che il problema non sia proprio io?

[il_kreatore]

Un antivirus?

[marco3253]

su mac?

[il_kreatore]

Prendi un grande respiro e ragiona su quello che dici da un post e l'altro... Poi si può continuare

[tomtomeight]

Perché credi che i mac siano immuni agli antivirus? E' una falsa credenza.
http://apple.hdblog.it/2012/11/16/virus-per-mac-ecco-i-10-malware-piu-temuti-fino-ad-oggi/

[ventus85]

Ciao.

Vediamo un po' come possiamo aiutarti.
Intanto prova a rispondere alle domande qui di seguito, magari ti sembrano stupide oppure hai già risposto, ma ripetere non fa male:

• hai cambiato password di accesso, per il db e per l'ftp?
• hai un hosting dedicato o condiviso?
• hai nel sito solo Joomla e sue estensioni, o anche altre pagine (per esempio php)?
• Joomla ed estensioni sono tutti aggiornati?
• hai qualcosa (nelle estensioni o altro) che ti possa dire gli indirizzi ip di eventuali accessi e spam in ricezione?
• hai installato qualcosa che ti filtra le richieste php e blocca quelle "maligne"(o ti avverte)?
• i diversi attacchi si possono dire simili tra loro?
• te fai accesso sempre dal solito pc?

[marco3253]

Ciao ventus provo a rispondere per quello che so, per il resto mi documento e poi riaggiorno.

• si ho cambiato password di accesso, per il db e per l'ftp
• se hosting condiviso significa con altri siti insieme al mio sulla stessa macchina immagino di si (chiedo conferma all'host)
• nel sito joomla ho solo installato virtuemart, e un template da missiletheme (scrivo così sennò mi banna il forum) comprato originale e installato.
• joomla è la 2.5 aggiornata all'ultima versione, tutti i componenti e plugin sono aggiornati (il sito "nuovo" cioè da quando son partito con la 2.5 è praticamente asettico come robaccia installata)
• dal cpanel posso vedere alcune cose, tipo "lastest visitors" e vedo che mi arrivano migliaia di visite da due siti, ma non riesco a fermarli, ho provato a bloccare via htaccess sia gli ip che i nomi dns (questo non toglie che le visite le vedo sempre ma non ho capito bene se poi vengono rimbalzate o meno)
• no non ho installato niente come dicevo a parte virtuemart e template, se avete consigli...son qui
• i primi attacchi erano simili in quanto erano mirati a mettere dentro una cartella che poi aveva degli script per inviare spam, l'ultimo invece sembra mirato a cambiarmi la home, ma non invia spam
• faccio accesso ftp sempre dal mio mac dove non ci sono installate schifezze, via admin di joomla anche da altri pc windows.

[mmleoni]

ciao marco3253,

capire da dove entrano gli hacker è sempre cosa lunga e difficile, vedrò di consigliarti per quanto non ha detto ventus85 (ciao ventus!).
le principali vie di accesso degli hacker sono, in ordine di importanza e diffusione:

1. cms ed estensioni vulnerabili
questa è la casistica più diffusa

2. server non correttamente configurato (intenzionalmente o non)
in hosting condiviso chi buca un sito accede anche agli altri, anche se non fanno capo al medesimo account.

3. recupero di pw ftp/sql/admin
questa mi è capitata molto di rado nella mia esperienza professionale.

purtroppo devo dirti che vm2, ma la mia esperienza si ferma a maggio, ha diversi problemi nel codice. ma, come dicevo mi fermo a maggio: sono scappato ad altra soluzione e-commerce.

dovresti provare con una analisi dei log di access, cercando stringhe sql o 'spulciando' le richieste nei giorni in cui presumibilmente è avvenuto l'hack alla ricerca di operazioni 'strane'. il problema è che, anche all'occhio esperto, è difficile capire che cosa è strano.

mi arrivano migliaia di visite da due siti

come referer o come origine? se come origine guarda nei file di log a che pagina puntano. semmai carica i file di log in un foglio di calcolo e conta quante richieste con pagine uguali ci sono: potresti trovare dov'è l'hack. poi c'è da capire da dove sono entrati.

buona fortuna,
marco
 

[marco3253]

Buongiorno a tutti ovviamente ho qualche news visto che indago...

Allora prima di tutto ho scaricato i files e DB e ho fatto una scansione con un antivirus e mi trova trojan e backdoor, potete vedere i file infetti dov'erano nell'immagine allegata (schermata bla bla)
Non ho aperto i php per capire cosa facessero, anche perchè ho installato xampp su una macchina virtuale e sto lavorando con un joomla 2.5 pulito nuovo ma col db vecchio collegato facendo una pulizia sugli utenti.

nel frattempo sull'host c'è solo 1 file html e una cartella immagini che fornisce le immagini all'html che avvisa che il sito è in manutenzione.
tutto il resto è pulito da ripristino da zero.

se vado in cpanel come dicevo vedevo queste strane visite, ho indagato ed ecco i risultati:

le visite vengono da 3 siti in particolare, i quali erano sulla stessa macchina in cui c'era il mio prima della migrazione presso host attuale.
tutte le richieste sono di questo tipo:

<script type="text/javascript" src="http://www.nomemiosito.com/modules/mod_404/temp/faim.php"></script></head>

quindi tutti gli utenti che accedono a quei siti fanno questo tipo di richiesta inconsapevole al mio, ovviamente quella pagina faim.php non esiste più già da un po' probabilmente era uno dei vecchi hack che ho subito prima della migrazione quindi ottengono tutti un 404 in risposta, ma mi da fastidio però che vengano da me a impallarmi i log di immondizia.
ho indagato e il faim.php potete trovare uno screenshot in allegato (screenshot.php.jpg), sembra facesse qualcosa con dei cookie ma non so di preciso cosa.

Ora il sistemista di quegli altri siti sta rimuovendo quel link che punta al mio, non so quanto questo mi proteggerà, magari non mi fa saltare all'occhio di ulteriori attacchi, magari quei siti sono bucati e se dentro c'è un link al mio è ovvio che mi fanno visita...

Fatto sta che ora, solo col file html caricato, nessuno ha bucato niente quindi mi verrebbe da pensare che l'host è sicuro...
però allo stesso tempo impazzisco perchè joomla era nuovo...bah!






[allegato eliminato automaticamente dopo un anno]

[mmleoni]

sto lavorando con un joomla 2.5 pulito nuovo ma col db vecchio collegato facendo una pulizia sugli utenti.

questa è un'ottima iniziativa, dato che non poi fidarti di nulla che sia contenuto nel vecchio sito. oltre agli utenti verifica anche eventuali plugin e i contenuti degli articoli, questi ultimi, ovviamente, solo per xss.

la prassi ottima è installare in locale tutto ex novo come era in produzione e caricare il db recuperato dal server in produzione, e mi pare sia quello che tu stai facendo.

quanto all'hosting sicuro devi aspettare un po' di giorni prima di essere sicuro

comunque, senza fare ovviamente nomi, basta non scegliere gli hosting straeconomici. del resto se devi usare l'hosting per una attività commerciale è implicito che determinati costi vadano affrontati.

consiglio questa mia:
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

mi ha salvato non poche volte, soprattutto da estensioni non proprio perfette...

ciao,
marco

[marco3253]

questa è un'ottima iniziativa, dato che non poi fidarti di nulla che sia contenuto nel vecchio sito. oltre agli utenti verifica anche eventuali plugin e i contenuti degli articoli, questi ultimi, ovviamente, solo per xss.

la prassi ottima è installare in locale tutto ex novo come era in produzione e caricare il db recuperato dal server in produzione, e mi pare sia quello che tu stai facendo.

quanto all'hosting sicuro devi aspettare un po' di giorni prima di essere sicuro

comunque, senza fare ovviamente nomi, basta non scegliere gli hosting straeconomici. del resto se devi usare l'hosting per una attività commerciale è implicito che determinati costi vadano affrontati.

consiglio questa mia:
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

mi ha salvato non poche volte, soprattutto da estensioni non proprio perfette...

ciao,
marco

grazie per il tuo incoraggiamento!

ora come ora i plugin installati sono solo quelli del framework del template (nota marca per joomla se scrivo mi censura il link) quindi direi che sono affidabili, ovviamente nel db potrebbero esserci riferimenti a vecchi plugin, come posso vedere? semplicemente dal nome tabelle? le elimino di sana pianta previo backup?

poi non ho capito la questione degli articoli, potrebbero esserci codici anche nell'html dell'articolo? che significa xss?

ho installato un modulo che si chiama backup akeeba, fa il backup in un secondo di tutto anche DB e ti salva senza sovrascrivere il precedente..
può essere utile, la cartella di salvataggio è al di fuori della root del sito, non so quanto questo mi protegga...ma meglio che niente..

poi l'hosting mi ha consigliato un plugin non mi ricordo il nome, praticamente per come ho capito tira fuori un captcha ogni volta che vengono inviate tot richieste simultanee (anomale)

ora provo a guardare anche quello che mi consigli tu, e grazie ancora!

[mmleoni]

0. sicuri ed affidabili perché a pagamento?
eviterei di aprire una su ciò 

1. tabella #__extension
vedi che c'è in coda a questa tabella. non essendoci più i files (dato che l'installazione è nuova) non dovresti avere problemi, ma un controllo non fa male, anzi potrebbe svelarti alcune strategie hacker. altre tabelle, senza php a gestirle non danno problemi.

2. xss: cross site scripting
ovvero il js che veniva creato da faim.php. richiami a questi file esterni, specie con il tag script, possono trovarsi in qualsiasi parte del sito, anche negli articoli (news e prodotti, in senso lato). non compromette la sicurezza del tuo sito, ma potresti essere bloccato dai motori di ricerca.

3. akeba
io preferisco il backup manuale, ma akeba mi ha raramente deluso.

4. plugin sicurezza
quello che ti ho consigliato lo ho scritto io. appena trova il pattern di un attacco stronca la connessione...
è abbastanza usato e finora ha superato vari intrusion test
qual è quello consigliato dal provider? (se non è a pagamento)

ciao,
marco

[marco3253]

1) provo a darci un occhio, grazie della dritta
2) anche qui come sopra
3) a parte il backup manuale che farò ovviamente, uno strumento veloce quando non ho tempo fa sempre comodo
4) appena accendo il mac tiro su la virtuale ti dico!

[marco3253]

4) cloudflare plugin, questo il nome che ti dicevo del plugin del captcha

[mmleoni]

non è che hai un link?

ho cercato sulla jed ed ho trovato solo questo:
http://extensions.joomla.org/extensions/core-enhancements/performance/content-networking/16320

lo ho scaricato, ho guardato il sorgente e mi sto chiedendo a che cosa mai dovrebbe servire..
davvero no lo capisco.

ciao,
marco

 

[marco3253]

si esatto è proprio quello!


per quanto ho capito, è un plugin, ma in realtà serve un'istallazione anche lato server che dovrà fare l'hosting, per esempio il mio ce l'ha e me l'ha consigliato...
so solo questo!

[mmleoni]

continuo a chiedermene l'utilità...

che ci fosse una parte server lo avevo capito dalla variabile $_SERVER["HTTP_CF_CONNECTING_IP"] che non è né di apache né dei moduli standard; il plugin controlla che $_SERVER["REMOTE_ADDR"] sia in una lista di IP (di cloudfare, facendo una rapida ricerca su ripe) e che sia uguale al prima citato $_SERVER["HTTP_CF_CONNECTING_IP"]; in tal caso setta una variabile globale $is_cf a true.

indipendentemente da tutto restituisce un header per dire che il sito  è 'X-CF-Powered...'

la descrizione del plugin dice: "Displays proper visitor IP addresses for CloudFlare-enabled Joomla sites." ma dove?

visto che joomla non sa che farsene della variabile $is_cf penso servirebbe un qualcosa che la gestisse, ma, comunque: e che interessa, a me e al gentile hacker, che il sito sia 'X-CF-Powered...'?

confessandovi che la domanda non mi toglierà il sonno, se qualcuno ha lumi, ci illumini 

ciao,
marco

[marco3253]

ahahha sinceramente mi sono fidato...ma non ho idea ne hai capito più tu...nonostante ciò non si capisce
magari qualcuno che legge lo sa o apriamo un topic dedicato!