sito hakerato, mi aiutate a capire?

[Chiarhonda]

Buongiorno a tutti
qualche tempo fa il sito che gestisco aspfossombroni.it è stato attaccato dagli haker, me ne sono accorta perchè da una ricerca su google presentava titoli in giapponese o lingua simile. Ho provveduto a cancellare tutto dal server e ricaricare un backup locale del 6 gennaio versione 3.6.5
In quella occasione ho iniziato ad usare la Google Search Console. Da allora il sito è stato attaccato il 23 gennaio, il 29, gennaio e anche nei giorni scorsi deve essere successo qualcosa. La google search console ancora non mi ha inviato una mail ma navigando fra i suoi link vedo che ci sono nuove url che danno errore 404 e che non riconosco come contenuti del sito quindi siamo d'accapo un'altra volta.
Il fornitore di hosting ogni volta mi suggerisce qualcosa di diverso, cambiare la password associata alla login (fatto), cambiare la password associata alla mail associata all'amministrazione (perchè?), adesso da una ultima scansione mi dice di disattivare e controllare i modules/mod_stat/helper.php e modules/mod_stat/mod_stat.php che sono infetti

L'ultima volta avevo notato che un altro utente aveva scaricato sul server il file html di google search console che serve per la verifica della proprietà del sito, e via ftp avevo la cartellina della cache bloccata con i permessi modificati (ma sta cartella cache va configurata con i permessi in sola lettura e disabilitata la cache via joomla?).
Sono affranta!

1)Vorrei innanzitutto capire qualcosa in più su quello che mi sta capitando, per questo allego il report della g.s.c.

2)Nel sito c'è una sezione dedicata alla amministrazione trasparente che il mio cliente mantiene aggiornata tramite una procedura particolare fornita da un ente esterno, immagino che sia una ulteriore porta di accesso ftp perchè tramite questa procedura caricano dei documenti, per il resto non ci sono cose particolari

3) potrebbe essere che la copia che ripristino ogni volta è infetta....posso provare a ripristinare una versione precedente come la 3.6.4 di ottobre 2016, ma in questo caso devo ripristinare anche il database di quella versione? Non l'ho mai fatto mi fa paura...comunque ce l'ho

ho letto altri topic, ho letto le guide, ma ho bisogno di un aiuto personale.
Grazie

[alexred]

Ciao Chiarhonda,
si, può essere che il backup che ripristini sia ancora infetto.
Ma quando ripristini il backup ripristini sia file che database o solo file ?

Avevi forse mantenuto online una versione non aggiornata di Joomla o di qualche estensione esterna ?

[danielecr]

Ciao,
se segui i consigli dell'hosting, puoi provare ad aprire i files helper.php e mod_stat.php e confrontarli con quelli originali di joomla per vedere se c'è del codice aggiunto.
Se hai accesso a cpanel per la configurazione dello spazio prova a vedere se c'è un'estensione per una scansione virus.
Scaricati il sito in locale, e cerca, ad esempio con notepad++ in tutti i files e sottocartelle stringhe come gzinflate e base64 (queste stringhe sono molto utilizzate quando si bucano i siti), cerca anche la stringa http e controlla che eventuali link siano effettivamente i tuoi.
Sempre se hai accesso da cpanel, controlla se puoi attivare modsecurity (per cercare di prevenire eventuali futuri hacking al sito).
Per il database non saprei in dettaglio, cercherei all'interno del database (puoi scaricartelo in locale e aprirlo col notepad) link a siti estranei.
Se hai un accesso SSH al server e sei sicura delle date in cui hanno bucato il sito puoi provare a cercare tutti i files modificati dopo quelle date, col comando:

Codice: [Seleziona]

find . -mtime -5
Il 5 vuol dire che cerca files modificati negli ultimi 5 giorni.
Quindi controllare cosa è stato modificato.
Sempre se sei sicura delle date, puoi controllare i log del server, in genere salvati nella directory logs, al livello superiore rispetto alla cartella public_html: da lì potresti vedere come l'hacker è entrato e cos'ha fatto.

La cosa più sicura, però, se non sei tanto esperta e non è troppo laborioso, è di farti una copia del database (che non deve essere infetto), poi cancella tutto dal server, reinstalla joomla ultima versione, reinstalla tutte le estensioni aggiornate e ripristina il database.
Ovvio che se hai cartelle/files "estranei" a joomla e messi da te o dal tuo cliente (non infetti), vanno scaricati anch'essi e ripristinati, così come le foto.
Occhio che però in un hacking medio serio, anche questi files potrebbero essere stati modificati...anche i file immagine potrebbero contenere codice estraneo..

Visto che hai parlato anche del file html per la verifica del dominio, dai un occhio alla sitemap, magari il buco potrebbe essere partito dall'aver uploadato dall'hacker una sitemap con i link estranei.

Buona fortuna

[Chiarhonda]

Eccomi qua!
Ho verificato che nelle mie copie di backup è presente una directory /modules/mod_stat/ oltre che una /modules/mod_stats/: la prima è infetta e non l'ho trovata in altri siti joomla, mentre la seconda è pulita. Ne deduco che mod_stat sia stata creata dall'haker, potete confermare?

Ho controllato i miei backup, contengono tutti questa cartella mod_stat infetta quindi ho sempre ricaricato backup infetti :-( e per rispondere a Alexred...purtroppo solo dopo averci battuto la testa con un altro sito tengo tutto aggiornato. Confermo che anche aspfossombroni.it è stato attaccato nel periodo antecedente gli aggiornamenti.

Danielecr grazie per le tue spiegazioni e per il tempo che mi hai dedicato: farò tutti i controlli sulla sorgente dei file con calma e mi sto scaricando in locale il sito infetto. Lato server non credo di avere gli strumenti che mi suggerisci. Relativamente al file di log, ho accesso solo alla dir "log" presente nella root principale, allego il file error.php vediamo se si capisce qualcosa....

Tenterò prima con una pulizia accurata, dopodichè non mi rimane altro che procedere con la reinstallazione e il ripristino del database che come già detto mi fa paura. Per ora è tutto, grazie

[danielecr]

Ciao,
il file che hai allegato è un log relativo a joomla, a te servirebbero i log del server.
Dai log del server puoi capire come l'hacker sia entrato, ad esempio, puoi trovare:

Codice: [Seleziona]

xxx.xxx.xxx.xxx - - [01/Feb/2017:01:13:45 +0000] "GET /en/ HTTP/1.1" 200 35891 "-" "}__test|xxx:\"JDatabaseDriverMysqli\":x:{s:2:\"fc\";O:17:\"JSimplepieFactory\":xxxx:\"\\0t\";xx:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xxx\x8c\x86"

che ti dice che l'hacker ha sfruttato o ha tentato di sfruttare la vulnerabilità di Simplepie.
E scovare se e dove ha caricato backdoor.
Pulire un sito compromesso può non essere così banale proprio a causa di backdoor che possono essere sparse in giro: per questo la soluzione migliore sarebbe quella di reinstallare tutto pulito da zero.

Riguardo la cartella non so aiutarti, non ho nessuna delle due: in realtà dopo che mi hanno bucato il sito qualche tempo fa, quando davo poco peso alla sicurezza, ho disinstallato tutte le estensioni disinstallabili che non mi servono, e disattivato le altre che non mi servono che è meglio non disinstallare per non far casino con il database e gli aggiornamenti di joomla.
Se comunque tu non l'hai creata e non è di joomla, probabilmente l'ha creata l'hacker: è molto comune creare file o cartelle aggiungendo o togliendo una s.
Se sei curiosa, dai uno sguardo dentro quella cartella e apri i files in un editor di testo per vedere che c'è.

Visto il file allegato, vedo un attacco brute force al backend; anche se è un attacco un po' datato, potrebbe ricapitare, per cui ti consiglio di installare un'estensione che ti permetta di accedere al backend solo con una ulteriore password (ad es. io uso l'estensione kareebu secure, ma ce ne sono molte altre).
Se poi vuoi essere maniacale, tipo me , proteggi anche la cartella administrator con una password via htaccess.

Potresti seguire anche questo recente post:
http://forum.joomla.it/index.php?topic=262987.0

Sembra che abbiate lo stesso tipo di hack.

[Chiarhonda]

Grazie Daniele, generosissimo!