[RISOLTO]Virus sito Joomla 2.5 mod_AutsonSlideShow

[claudio65]

Ciao a tutti,
ho un problemino che mi assilla, un mio sito in Joomla 2.5.28 è stato bucato, me ne sono accorto in quanto il sito in questione aveva un consumo di banda anomalo.
Andando ad investigare avevo riscontrato, un paio di settimane orsono, che il problema era nel modulo mod_AutsonSlideShow, quindi l’ho prontamente disinstallato e sostituito con un diverso modulo slide show, per la precisione con Slideshow CK.
Il problema sembrava rientrato in quanto Firefox con il plugin Avira non mi dava più alcun warning , ma purtroppo oggi ho riscontrato nuovamente un traffico anomalo dal dominio e Avira mi segnala nuovamente un warning nella pagina incriminata.
La pagina incriminata è http://giorgioseropian.com/photogallery.html
Incomincio ad essere a corto di idee per risolvere.
Qualcuno ha suggerimenti?


Grazie fin d’ora per l’aiuto

[maxzilla]

Ciao claudio65
ora e' un problema accedere al sito perche' sembra che ti abbiano fatto superare il limite.

Avevi aggiornato Joomla con le ultime patch?
Hai gia' controllato se avevi qualche altra estensione vulnerabile qui https://vel.joomla.org/resolved ?
Hai un backup del sito ?

[claudio65]

Ciao maxzilla,
grazie per la pronta risposta.
Mi scuso con Tomtom per aver sbagliato sezione del forum.
In merito alle ultime patch se non ricordo male avevo fatto tutti gli aggiornamenti, come estensioni vulnerabili vi sono le seguenti: swMenuFree 6.6 - JCE Editor 2.5.11 - GTranslate  3.0.x.32
Per quanto riguarda i backup ne ho di svariati, maggio 2015 - luglio 2014 ecc. il problema è capire quale di questi è pulito. Considerando che il problema si è manifestato nelle scorse settimane il backup di maggio dovrebbe essere pulito, quindi penserei di fare un restore di quest’ultimo, eliminare nuovamente mod_AutsonSlideShow per sostituirlo con altra gallery.
Cosa ne pensi?

[maxzilla]

Maggio e' un po' lontano, perdi tutti gli aggiornamenti degli ultimi mesi, ma se non hai altro....

Dopo il ripristino del vecchio sito (files e database), io farei subito l'aggiornamento alla 2.5.28
poi cambierei la password del database  ( quindi aggiornando anche il file configuration.php)
 
dopo resta da fare l'installazione della patch che trovi su questa pagina http://www.joomla.it/download/joomla-2/joomla-2-2-5-28.html
e l'aggiornamento di tutte le estensioni, prima tra tutte JCE

Io cambierei anche utente e password di joomla
e dell'accesso FTP

[maxzilla]

claudio65, ma prima di riprendere una vecchia versione di maggio, non ti conviene fare un tentativo per mettere in sicurezza il sito attuale?
magari, visto che ancora non si conosce il problema, lo risolvi aggiornando joomla, le estensioni, cambiando le password e eliminando file sospetti nelle note cartelle (images, tmp, cache...o libraries/joomla , libraries/simplepie)

[claudio65]

Ciao max,
il backup è sì vetusto, ma il sito in questione non viene aggiornato quasi mai, salvo qualche riga di testo o poco più, quindi il restore a conti fatti porterebbe meno impegno che la caccia al virus.
Naturalmente anche solo per curiosità, nonostante sia in affanno con il lavoro, procederò cercando ulteriormente nelle cartelle e cambiando PSW. Nella scorsa ora ho disinstallato swmenu, JCE e Gtranslate e “sembra” che non ci sia più un consumo anomalo di banda quindi al momento il sito resta on line.
Per quanto riguarda la versione di Joomla è già alla 2.5.28, in genere tengo tutti i siti aggiornati all’ultima versione, in particolare quelli con 1.5 e 2.5.
Se vedrò che con l’eliminazione dei sopracitati moduli e componenti il problema cessa, li reinstallerò aggiornati e lascerò il backup lì dove si trova.
L’ironia del fatto, è che alcuni mesi or sono ho configurato ModSecurity sul server L

[claudio65]

Niente da fare, mentre cambiavo le PSW del DB, Cpanel e Supper User il consumo di banda ha nuovamente bloccato l'accesso al sito.
Ora sto caricando il backup e successivamente farò tutti gli aggiornamenti / patch e cambi PSW del caso 

[maxzilla]

Ma il consumo della banda, che dipende dal servizio venduto dal provider, non credo sia indicativo per questa scelta, nel senso che forse hai un traffico giornaliero o settimanale che ormai e' stato superato, indipendentemente dalla "salute" attuale (dicamo dell'ultima ora) del sito.

Dovresti vedere le caratteristiche del tuo piano altrimenti diventa difficile gestire questa fase.
 Eventualmente potresti chiedere al provider se ti da una mano in questo momento per consentire di operare senza blocchi.

[claudio65]

Il mio provider sono io, nel senso che il dominio in questione è su una VM nella quale ho accesso come Root, conseguentemente gestisco anche le quote traffico.
Nel caso specifico il dominio ha una quota identica a molti altri presenti sulla stessa VM e lo sforamento è ormai enorme, infatti a fronte di una quota pari a 2000 MB il consumo per questo dominio in questo mese è di 21714 MB.
Conseguentemente ad ogni blocco per sforamento del consumo banda, ho provveduto tramite WHM Panel a fare Unsuspend bandwidth exceeders, così facendo riattivo l’accesso al sito, salvo il fatto che in una o due ore  il dominio sfora nuovamente, da ciò ne deduco, non so se a torto o a ragione che qualcosa generi traffico.
Un paio di settimane or sono avendo riscontrato il problema ho eliminato mod_AutsonSlideShow noto veicolo d’infezioni e tutto era rientrato, ora invece nonostante la sostituzione del modulo a distanza di 2 settimane si ripresenta lo stesso fenomeno.

[claudio65]

Eccoci,
dopo aver fatto il restore del backup di maggio 2015, aggiornato tutti i componenti e ovviamente disinstallato mod_autson_slideshow, sostituendolo con mod_CK_slideshow,  il sito presentava sempre gli stessi problemi, ma inspiegabilmente eliminando le voce di menù incriminata "Photogallery" relativo articolo, modulo presente nella pagina e  ricreando una voce di menù alternativa "immagini" (se ricreavo la voce nominandola Photogallery mi dava sempre lo stesso problema) con relativo mod_CK_slideshow sembra essere tutto rientrato.


Altra perplessità mi rimane sulla patch d'aggiornamento per Joomla 2.5.28, in quanto sovrascrivendo plugins/system/debug/debug.php tutto funziona regolarmente, mentre sovrascrivendo libraries/joomla/session/session.php riscontro un'anomalia nel back-end in quanto non riuscivo ad accedere, creare, alcun modulo e articolo.

[tomtomeight]

Dopo la patch session, scollegati e ricollegati.

[claudio65]

Grazie Tomtom,
ho seguito quanto da te indicato e naturalmente funziona perfettamente, non a caso il file si chiama session.php 


Buona fine e migliore inizio a tutti gli amici del forum.