indexs.php, template.pdf, .thumbs e .ini files in cartella media

[danielecr]

Ciao a tutti,
recentemente mi sono ritrovato i seguenti files nella cartella /media/:
template.pdf
indexs.php
156875753eb9d2667c29c0af8ba38bc3.ini
579186.thumbs

Nel file di log leggo richieste come queste, apparentementi appartenenti a google:

66.249.75.160 - - [11/Nov/2016:07:15:57 +0100] "GET /media/indexs.php/579186/167949/week+3+homework+aib+problems.pdf HTTP/1.1" 301 - "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.75.160 - - [11/Nov/2016:07:15:58 +0100] "GET /en/media/indexs.php/579186/167949/week%203%20homework%20aib%20problems.pdf HTTP/1.1" 404 4628 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Il 404 è ovviamente dovuto alla rimozione dei files.

I files sono allegati nello zip.

Ora mi trovo indicizzate in google pagine che puntano a files pdf con titoli contenenti le parole all'interno del file thumbs.
Oltre a rimuovere le pagine da google con l'apposito tool di segnalazione di google, oltre a rimuovere i files e aggiungere la cartella /media/ nel file robots, dovrei fare altro?
Qualcuno ha già visto questo tipo di spam?

Grazie

[Alex21]

Il tuo sito è stato hackerato, temo.
In un modo che non ho mai visto.
indexs.php ha all' inizio

Codice: [Seleziona]

function AF8Aa($DAa5D09c2) {
return strrev(f6AEC91($DAa5D09c2)); }dove presumibilmente

Codice: [Seleziona]

strrev(f6AEC91($DAa5D09c2)
recupera in chiaro del codice che è dentro indexs.php aggrovigliato in chissà che maniera.


Anche

template.pdf

non è per nulla un

.pdf.

Che fare?
Se hai un backup buono cancella tutto e ripristina.
L'accesso ottenuto  dall'hacker potrebbe derivare dalla falla di cui si è parlato che ha permesso la costituzione di un nuovo user che poi ha sfruttato l'upload di joomla per collocare nella cartella /media/ il codice malevolo.
Ciao!

[danielecr]

Grazie della risposta,
aggiungo che i files sono stati creati dopo aver tappato la falla di sicurezza relativa alla creazione di users e priviledges escalation.
Pensavo che il template pdf servisse appunto come template per creare il pdf con dentro le parole nel file thumbs.
Monitorerò la situazione per vedere se qualche problema si riverificherà.
Ancora grazie

[danielecr]

Una precisazione/domanda:
dopo aver pulito tutto, a circa 10-15 giorni di distanza, è normale che google continui a indicizzare pagine non più esistenti?
del tipo: http://miosito/media/indexs.php/579186/40172/models+thesis.pdf

Ogni giorno rimuovo circa una decina di link con l'apposito strumento di google.
Se si clicca sul link si arriva a un 404 ovviamente.
Preciso anche, se di utilità, che se digito http://miosito si ha un 301 che viene reindirizzato a http://miosito/en/

Alcune di queste pagine hanno una cache, purtroppo però nella pagina della cache non è presente la data.

In generale: questo hack è piuttosto comune, vengono creati per quello che ho visto, o indexs.php, o articless.php o templatess.php (notare la s aggiuntiva) che o vengono reindirizzate a un sito di essay, o a un pdf sul sito locale, che potrebbe contenere malware, anche se non segnalati da virustotal.

[MariaElenaBoschi]

Il tuo sito è stato hackerato, temo.
In un modo che non ho mai visto.

http://labs.lastline.com/evasive-jscript
bellissimo articolo

[danielecr]

Ancora una questione, relativa alla scansione di google, non legata all'hack, visto che ho testato anche su un joomla 3.6.4 appena installato.
sempre analizzando i log del server, ho notato questo url:

Codice: [Seleziona]

http://miosito/en/media/indexs.php/579186/197317/8-1/8-2%20homework.pdf

che non restituisce un 404, ma rimanda a un articolo del sito, e precisamente quello con id 8, ovvero:

Codice: [Seleziona]

http://miosito/en/8

Praticamente posso aggiungere ciò che voglio tra /en e /idarticolo e dopo /idarticolo ma vengo sempre reindirizzato alla pagina esistente dell'idarticolo.
Quindi url del tipo:

Codice: [Seleziona]

http://miosito/en/quellochevoglio/8%20ciaociao
http://miosito/en/8-123456789
http://miosito/en/123456/8

rimandano sempre a:

Codice: [Seleziona]

http://miosito/en/8

Come posso modificare queste richieste in modo da far capire a google che questi indirizzi in realtà non esistono (spero abbiate capito, è più semplice da capire che da spiegare..)?

Grazie

EDIT:
ecco il "problema", riportato anche su joomla.org:
https://forum.joomla.org/viewtopic.php?t=753657

EDIT2:
forse si risolverà in joomla 3.7?
https://github.com/joomla/joomla-cms/issues/12410

[MariaElenaBoschi]

EDIT:
ecco il "problema", riportato anche su joomla.org:
https://forum.joomla.org/viewtopic.php?t=753657

EDIT2:
forse si risolverà in joomla 3.7?
https://github.com/joomla/joomla-cms/issues/12410

il primo è un post del 2012 e parla di J 2.5

il secondo non credo riguardi il tuo problema

[danielecr]

Hai ragione sul primo link, il secondo invece descrive esattamente il mio problema, così come pure l'argomentazione del primo link.

[Alex21]

Una precisazione/domanda:
dopo aver pulito tutto, a circa 10-15 giorni di distanza, è normale che google continui a indicizzare pagine non più esistenti?
del tipo: http://miosito/media/indexs.php/579186/40172/models+thesis.pdf

Normale, sì. Finché ha qualche dubbio Google rimane in una posizione di all'erta. Se vai a vedere i file di log probabilmente troverai una quantità stratosferica di accessi da parte del googlebot.  Anche centinaia di migliaia in un giorno, indipendentemente se il sito è piccolo o grande.
Ciao!

[Alex21]

http://labs.lastline.com/evasive-jscript
bellissimo articolo

Vero!
L' articolo si riferisce principalmente a codice malevolo scritto in javascript.
Però il file di infezione, indexs.php a me è sembrato che sia stato scritto con la stessa logica, ovvero con la testa di uno che scrive abitualmente virus in javascript, nonostante sia un php file.
Per saperne di più bisognerebbe iniziare a testarlo a pezzi in un ambiente controllato e isolato. Buon lavoro al benemerito / a  che ha tutto questo tempo disponibile. Leggeremo con molto interesse i risultati! 
Ciao!