Sito attaccato: title link verso pagine con scritte gipponesi.

[mex]

Cari tutti,
da qualche giorno mi sono accorto che il link ai titoli degli articoli puntano ad una pagina con scritte giapponesi, tipo questa:
http://www.rivaronesi.it/index.php?option=com_content&view=article&id=72:proiezione-documentario-di-animazione-l-incredibile-storia-della-terra&catid=2&Itemid=101

Aggiorno tutte le estensioni quotidianmente e pure joomla, ovviamente.

Ho gia' sentito l'host e mi dicono che occorre tenere aggiornato joomla, ma io l'ho tengo aggiornato!

Ora, prima di procedere al ripristino c'e' qualche tentativo da fare?

Io ho i back settimani e mensili, ma non saprei con certezza quando si e' presentato il problema. C'e' modo di saperlo?

Ho visto che le istruzioni sono per joomla 1.5, vanno bene lo stesso per joomla 3.6.5?
 
Grazie,
M

[danielecr]

Ciao,
mi spiace per il tuo sito; aggiungo che non solo hai dei link che rimandano a quelle pagine, ma se fai uno spoof del tuo user agent e lo setti ad esempio come google bot, ti accorgerai che google non vede la tua vera homepage, ma una pagina giapponese.
E' un attacco noto come SEO spam.

Venendo al dunque la classica risposta è quella: "ripristina un backup prima dell'hack": io proverei a rimettere un su un backup, partendo dal più recente, magari in localhost se puoi, spoofare il tuo user agent con firefox (lo fai con un'estensione) e vedere se ti appare la pagina in giappo.
Per backup ovviamente si intende sia i files sia il database e accertati di cancellare tutto dall'hosting (database e files) prima di mettere su il backup.
Controlla anche da cpanel (se ce l'hai) se hai qualche cron job.

Buona fortuna!

[Alex21]

Una cosa sola: visto che hai un backup ti conviene anche cancellare tutto il sito prima del ripristino perché potrebbero rimanere dei file nuovi non joomla che il ripristino non sostituisce. Anche le tabelle del db andrebbero cancellate prima del ripristino.


Ciao!

[mex]

Anzitutto grazie mille delle risposte.
Avrei solo un paio di domande:
- potevo evitarlo? Se si come? Io piu' che avere joomla/estensioni sempre aggiornato non saprei cosa altro fare.
- la procedura che c'e' qui nel forum, anche se e' riferita a joomla 1.5, va bene lo stesso?
Grazie
M

[danielecr]

Dovresti analizzare i file di log, per capire cos'è successo e come è stato attaccato il sito.
Per assurdo può essere che il sito sia stato bucato 1 minuto prima che tu facessi l'aggiornamento!
Controlla anche di non avere estensioni vulnerabili, in questa lista https://vel.joomla.org/live-vel

Se hai direttamente i files del backup, puoi ripristinare il tutto tramite cpanel, oppure carichi direttamente i files, dopo aver cancellato tutto come ti abbiamo consigliato, via ftp. Controlla che il file configuration.php abbia user, password e nome del database corretti, controlla che anche il prefisso delle tabelle del databse sia corretto. Con phpmyadmin da cui puoi accedere da cpanel cancelli il database, ne crei uno nuovo vuoto e poi importi il backup del tuo database in questo vuoto.

Se vuoi andare sul sicuro prova prima in locale!

[mex]

Ciao,
volevo segnalarvi che l'host provider mi ha scritto dicendo questo:
Le chiediamo cortesemente di eseguire una approfondita scansione delle postazioni da Lei utilizzate per gestire il Suo sito.   Le suggeriamo l'utilizzo anche di strumenti di questo tipo   http://www.novirusthanks.org/products/zeus-trojan-remover/
Ora la domanda e' la seguente: ma joomla si puo' infettare per via di un problema dal pc da cui si creano i contenuti?

Grazie ancora.
M

[danielecr]

Probabilmente ti sta consigliando di fare una scansione antivirus sul tuo pc, in locale, dei files presenti sul server (quindi dovresti scaricarti sul tuo pc i files dal server e su questi fare una scansione).
In questo modo potresti identificare delle backdoor, in genere php, messe sul tuo spazio web a tua insaputa, quando ti hanno bucato il sito.
In linea generale, però non è così semplice identificare cosa l'hacker ha modificato.
Ricorda che tutto è possibile, ma per me è altamente improbabile che l'infezione sia dovuta a un virus presente sul tuo pc.
L'infezione e l'attacco è molto probabilmente scaturito da una versione joomla vulnerabile, o dalle sue estensioni vulnerabili, o da password/nomi utenti craccati (ftp, cpanel, pagina di amministrazione), o ancora dall'accesso diretto al database, sempre che il database sia accessibile da host diversi da localhost (il tuo server).

Dimenticavo: controlla anche il tuo file .htaccess, che non sia stato modificato; il redirect per i bot potrebbe partire da lì

[danielecr]

Anzi, scusa, ho letto male...ti sta proprio consigliando di fare una scansione sul tuo pc...potrebbe esserci un keylogger o qualcosa di simile tramite il quale ti possono essere state rubate password/nomi utenti, ma vale comunque il pensiero del messaggio sopra <--poco probabile

[mex]

Ho chiesto dei log per sapere quanto è stato attaccato, anche per capire se i backup posso recuperarli e mi hanno risposto cosi:

"alcuni dei files rilevati   components/com_search/models/system.php
 modules/mod_stat/helper.php
 modules/mod_stat/mod_stat.php   hanno data di modifica settembre 2016, pertanto il servizio di backup attivo non è utile al ripristino del sito."

Oggi ricomincio il ripristino. Ma tutto e' sul database? Nel senso che partendo da una installazione pulita, riesco a recuperare tutto il passato (articoli, utenti, etc..)?

Ammetto di essere un po' giu' di morale, e' gia' la seconda volta che ci attaccano nonostante un sito sia aggiornato e abbia pochissime estensioni (simplecalendar, phocadownload, joomGallery).

Grazie a tutti
Massimo


 

[danielecr]

Ci vuole poco allora per metterti giù di morale!!!
Non ho ben capito la risposta che ti hanno dato, io la interpreto come se system.php, helper.php e mod_stat.php siano stati modificati dall'hacker e che i backup disponibili abbiano quei files già tutti modificati (post attacco). Se è così, apri quei files e rimuovi il codice malevolo prima di rimetterli sul server.
Altriemnti, per stare sicuro, renstalla una nuova versione di joomla da zero, reinstalla tutte le estensioni che avevi e importa il database.
Articoli e utenti stanno nel database!

[mex]

Grazie mille, gentilissimo.
Sto procedendo con la re-installazione sperando che tutto sia nel db anche le centinaia di foto della JoomGallery.
Ma il DB e' pulito per definizione? Non puo' essere corrotto anche quello e quindi rischio di importare un DB col virus?
M

[danielecr]

Anche il db potrebbe essere infetto, diciamo che nella maggior parte dei casirimane intatto..non conosco joomgallery ma mi sa che le foto non stanno dentro il db! Quelle devi riprenderle dal backup mi sa.

[Claudio Romeo]

Se può essere utile...

Ricorda che tutto è possibile, ma per me è altamente improbabile che l'infezione sia dovuta a un virus presente sul tuo pc.

Un mio cliente ha avuto il sito infetto dopo che ha partecipato a un convegno in cui l'organizzazione ha donato una chiavetta USB. Questa chiavetta era infetta.
La chiavetta ha infettato il suo PC Windows.
Il suo PC ha infettato il sito.

Vi lascio immaginare gli smadonnamenti...

[danielecr]

Che fortuna...infatti, tutto è possibile, ma tra le statistiche diciamo che è poco probabile, almeno per come la vedo io.