Sucuri mi avvisa: come procedo?

[prankster]

Ciao

Una scansione effettuata con Sucuri site check mi segnala:

Warning: Malicious code detected on this website
Critical server errors detected
Internal server error - 500-error?v1 - http://www.miosito.it/404javascript.js

Altri tools online invece me lo danno pulito.
Il sito è stato pubblicato due giorni fa, Joomla ed estensioni sono aggiornate all'ultima versione.

Qualche indicazione o guide di riferimento su come procedere?Grazie

Scansionata una copia del sito in locale con tre diversi tool che non rilevano nulla.

[$Red]

Ciao, leggi qui http://forum.joomla.it/index.php/topic,117151.0.html

[prankster]

grazie $Red

[$Red]

Prego  Sei riuscito a risolvere qualcosa?

[prankster]

  Hello $Red in realtà per niente e continuo ad essere perplesso. 

Ho scansionato in totale con una trentina di tool diversi online solo sucuri me lo da impestato.
Google non mi segnala (altre volte mi aveva mandato le squadre d'assalto sul tetto di casa)
Il sito era online da soli 2 gg. al momento della "rivelazione" ed era tutto bello nuovo e aggiornato (vabbè questo conta poco)
Continuo comunque la caccia perchè la copia di backup mi da lo stesso alert
Sospetto di una estensione che visualizza gli album fotografici di Faccialibro
Boh.

[$Red]

si è possibile che sia qualche script di estensioni a creare il problema, cerca di capire dove risiede quel file Js, in caso disattiva o sostituisci l'estensione che lo carica, spero che tu abbia scaricato tutte le estensioni dai siti ufficiali degli sviluppatori, perche un conto che è un falso positivo di sucuri un conto è la segnalazione di google, potresti finire in qualche blacklist e non penso che ti fa piacere

[prankster]

Tutto scaricato via Jed e via Joomla.it, niente "cose strane".
il file 404javascript.js non esiste
googlando trovo pareri discordi
mi sto infilando la calzamaglia e il mantello rosso da superman ma mi va un po stretta

[maxzilla]

Ciao prankster
cercando in giro ho letto che chi aveva il tuo stesso problema, anche se con una versione precedente di joomla, ha trovato delle righe in piu' nel file .htaccess

[prankster]

esatto, grazie cmq.

vabbè ho bruciato un attimo l'htccess (che contiene una lista di spambot)
scansionato nuovamente con sucuri con esito felice
riattivato htaccess
scansionato con sucuri con esito felice

non vedo righe anomale nell'htaccess.
me sembra de sta sulle giostre 

[maxzilla]

ok 

non potendo fare link a risorse esterne ti riporto quello che ho trovato scritto

"-Ristabilito il file .htaccess, cancellando a inizio e fine file le righe di codice in più
-Cambiate le pass di amministratore per l'ftp e il db (quest'ultimo non dovrebbe essere interessato ma nel dubbio...)
-Eliminato il contenuto della cartella cache e di quella install (dove c'erano i rimasugli dell'installazione)
-cancellato da ogni sottocartella di primo livello della root, il file .htaccess che era stato inserito dal codice malefico.
-Aggiornato joomla e componenti"

[prankster]

Maxzilla grazie

ho controllato tutto: non ci sono (a prima vista) frattaglie.

Intanto Sucuri sembra aver cambiato idea e dice che il sito è acqua pura di sorgente 

[$Red]

Grazie anche da parte mia max, ed ora che lo hai segnalato e ci penso è una cosa che mi era già capitato di leggere qui sul forum però se non ricordo male era capitato a qualcuno con joomla 2.5, ed è una cosa che "prende" anche l'altro cms WP grazie ancora  Prankster quando pensi che è tutto ok ricorda di inserire [Risolto] nel titolo del topic grazie e buon joomla ad entrambi 

[maxzilla]

Mi fa piacere di essere stato di aiuto, ma non e' farina del mio sacco, ho semplicemente fatto una ricerca. 

In effetti e' strano aver ritrovato una situazione di 3 anni fa riscontrata con la versione di 2.5.
Si, hai ragione $Red ho letto anche di WP con lo stesso problema.

prankster una domanda: il tuo sito era online da 2 giorni, quindi J3.4, giusto?

Potrebbe essere una vulnerabilità di client FTP o server e quindi qualche problema che non riguarda joomla e le sue estensioni direttamente?

[prankster]

Oilà

Intanto vi ringrazio comunque.
Mi sarebbe piaciuto scrivere Risolto ma non è così
Il tema è, come giustamente rilevate, abbastanza trattato in larga parte con riferimento a WP.
Anche su Joomla si trova qualcosina ma a mio modestissimo parere nulla di realmente chiarificatore.

Il sito è andato online con la 3.4.5
Altri 2 siti ce li ritroviamo con la medesima situazione
L'unica cosa che li accomuna è che sono costruiti con Helix3
Ora proviamo a smanettare con l'htaccess

Il discorso è che disabilitando le tre opzioni Seo la segnalazione di malicious code scompare.

[$Red]

allora penso che... ti devi controllare tutte le cartelle e vedere se ci sono altri htaccess, magari portarti anche in locale un backup e scansionarlo con uno o due antivirus, o ancora meglio utilizzare solo il tuo DB e caricare un pacchetto di joomla "pulito", tranne la cartella installation chiaramente, mantenendo il tuo configuration.php controllando che non ci sia codice strano anche li, e reinstallando tutte le estensioni che avendo gia le tabelle sul DB dovrebbero rimanere configurate. chiaramente fatti un backup di tutto prima se prendi questa strada

[prankster]

Non fraintendetemi, ho capito che devo in qualche modo ricostruire il tutto partendo da un vecchio backup (che a questo punto potrebbe anche essere infetto visto che tutti gli antivirus mi danno tutto pulito, anche il sito attualmente online)
Vorrei solo tentare di capire qualcosina in più

Ho scansionato i files con JAMSS
Questo tool da una marea infinita di falsi positivi così come assicura anche il dev. Serve solo a dare indicazioni di massima su dove guardare.
Ho trovato diverse stringhe che indicano la presenza di  shell (magari non vuol dire nulla)
Non so assolutamente che valore dare a queste stringhe, non fa purtroppo parte delle mie competenze.
Al massimo posso confrontare i file con una installazione pulita, magari in locale.
Comunque ne posto qualcuna qua, hai visto mai...

Codice: [Seleziona]

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./libraries/vendor/joomla/input/src/Cli.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 21... executable that was called to run the CLI script. * * @var    string * @since  1.0 */ public $executable; /** * The additional arguments passed to the script that are not associated * w ... --> ./libraries/vendor/joomla/input/src/Cli.php is a file. It was last accessed: 2015-05-12T10:31:09+02:00, last changed: 2015-05-12T10:31:09+02:00, last modified: 2015-05-12T10:31:09+02:00.
File permissions:0755

Codice: [Seleziona]

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./libraries/joomla/input/cli.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 20... executable that was called to run the CLI script. * * @var    string * @since  11.1 */ public $executable; /** * The additional arguments passed to the script that are not associated *  ... --> ./libraries/joomla/input/cli.php is a file. It was last accessed: 2015-05-12T10:29:44+02:00, last changed: 2015-05-12T10:29:45+02:00, last modified: 2015-05-12T10:29:45+02:00.
File permissions:0755

Codice: [Seleziona]

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./components/com_mailto/controller.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 10... EXEC') or die; /** * Mailer Component Controller. * * @package     Joomla.Site * @subpackage  com_mailto * @since       1.5 */ class MailtoController extends JControllerLegacy { /** * Show t ... --> ./components/com_mailto/controller.php is a file. It was last accessed: 2015-05-12T10:19:21+02:00, last changed: 2015-12-15T11:30:44+01:00, last modified: 2015-12-15T11:30:44+01:00.
File permissions:0755

Codice: [Seleziona]

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./administrator/components/com_sppagebuilder/views/ajax/view.raw.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 9... EXEC') or die ('resticted aceess'); $template_name = $_POST['template']; $path = JPATH_COMPONENT.'/builder/templates/'.$template_name.'.json'; if (file_exists($path)) { require_once ( JPATH_COMPONEN ... --> ./administrator/components/com_sppagebuilder/views/ajax/view.raw.php is a file. It was last accessed: 2015-05-12T10:12:51+02:00, last changed: 2015-05-12T10:12:51+02:00, last modified: 2015-05-12T10:12:51+02:00.
File permissions:0755

Codice: [Seleziona]

Pattern #23 - shell command execution from POST/GET variables --> found 1 occurence(s) in file ./plugins/osmap/com_k2/com_k2.php

Details:  "Found direct shell command execution getting variables from POST/GET, which is highly dangerous security flaw or a part of malicious webrootkit"
 Line #: 27... EXEC') or die('Restricted access'); /** Adds support for K2  to OSMap */ class osmap_com_k2 { static $maxAccess = 0; static $suppressDups = false; static $suppressSub = false; /** Ge ... --> ./plugins/osmap/com_k2/com_k2.php is a file. It was last accessed: 2015-06-03T12:49:54+02:00, last changed: 2015-12-15T11:52:53+01:00, last modified: 2015-12-15T11:52:53+01:00.
File permissions:0644
Mannaggia la pupazza.

[tomtomeight]

Lasciate perdere gli antivirus, salvo pochi casi non rilevano file infetti da malware. Indagate principalmente su file con data più recente rispetto agli altri file e cartelle, il procedimento va fatto anche all'interno di cartelle e sottocartelle. Sovrasrivere serve a poco perché lascia intatti i file iniettati, meglio sostituire proprio in sequenza ogni estensione con una nuova salvo poi verificare errori di esecuzione e provvedere a correggerli con confronto backup della estensione sostituita.

[prankster]

Grazie anche TTE

E non c'è niente da fare: niente scorciatoie ma questo era già deciso.

Però mi piacerebbe lo stesso sapere. E mica sarò l'unico nel mondo con questo raffreddore su Joomla 3.

[$Red]

secondo me senza che perdi troppo tempo, anche se ci vorra un pò, la soluzione migliore è fare come ti ho detto sopra, cioè usare solo il tuo database, quindi scaricati un pacchetto di joomla della stessa versione che hai sul server, ed usa il tuo file configuration.php, la cartella delle immagini (controlla che non contiene strani file), eventuali file del template che hai modificato, file css, ecc..., usa il pacchetto pulito di joomla reinstalla le estensioni

[prankster]

Ma forse anche no.

La situazione è stabile.
L' Host ci richiama per telefono (!!!) e ci dice che non verificano codici malevoli.(Qui andiamo con le molle però)
Ci conforta che Google non batta ciglio e non ci blacklista.
Nessun file sospetto o modificato.

Invece troviamo sul forum della community di mcafee che molti proprietari di siti si trovano blacklisted solo su mcafee  senza particolari spiegazioni.
Va messa in atto una pratica che chiede la riconsiderazione dell'azione da loro intrapresa.

Sui motivi tecnici non si riesce a sapere di più (mettiamoci pure la nostra scarsa preparazione in materia), 404javascript.js continua ad essere avvolto nel mistero e pur avendo lanciato sos anche su altri pianeti nessuno si pronuncia.

Notiamo che comunque pagando si può richiedere l'intervento per la rimozione dalle blacklist, operazione che in passato abbiamo fatto in autonomia ripulendo altri siti compromessi.

Intanto procediamo per la tombola... installando un pezzo per volta e controllando.

Cheers

Non metto risolto finchè non trovo una spiegazione plausibile.