Autore Topic: sito violato (Letto 6957 volte)

rompikapo · « **il:** 11 Apr 2017, 21:53:14 »

Ciao a tutti.
Da diverso tempo ho problemi con un sito joomla a causa di periodiche incursioni. Premesso che il sito è in produzione I problemi che si verificano sono diversi:
1) Nella ricerca google il sito è ben recensito, ma al clik sui risultati si finisce su siti di e-commerce esteri
2) Duplicazione dei file con aggiunta di caratteri, ma parlo di centinaia di file, anche migliaia. Ad esempio in una cartella dove c'e index.php trovo index1.php, index12.php, index123.php e così via ripetuto per decine di file, dentro la maggiorparte di questi trovo la stringa eval64…
3) Creazione di nuovi file tipo edit.php o nomi credibili che però non esistono nell pacchetto originale o nelle extension
4) Hanno aggiunto utenti amministratori su Joomla
5) Creazione di pagine che apparentementemente sono uguali alle originali, ma con url diverse (ad esempio /chisiamo.html diventa contatti/chisiamo.html)

Il punto 5 in realtà succede solo da poco, o almeno credo…
Ora google se ne è accorto e ha messo nello snippet che il sito potrebbe essere compromesso, quindi lo ho messo offline.

Cosa ho fatto fino ad ora
Non ho log apache e il provider dice che il server è sicuro (ma io ho un ragionevole dubbio…)
Ho letto centinaia di guide e di post sui forum, in giro ma sopratutto su questo sito, e a proposito grazie per tanta documentazione!
Ho ripulito da tutti questi file diverse volte, fatto e ripristinato back-up, cambiato le password, di amministrazione ftp e db, reinstallato il core di joomla e le estensioni, cancellando le cartelle dal server e ricaricandole. Ogni volta sembra tutto risolto e invece dopo qualche settimana ricomincio. Le estensioni sono sempre aggiornate e non segnalate nel VEL, Joomla! ultima versione.

Cosa sto per fare
Ho cambiato server http e mysql, metto un proxi firewall, proteggo administrator con password (me lo ha detto che lo fa domani il provider ma non so ancora come fa, se da htaccess, cpanel o altro) e naturalmente cambio tutte le password. Cancello tutti gli utenti che non sono necessari), attivo https e certificato, e che altro, getto un po di sale intorno al computer, non ci credo ma non si sa mai.

Cosa vi chiedo?
1) Tra le tante ricerche non ho trovato nessuno a cui si moltiplicavano i file, se qualcuno ha qualche link o descrizione in proposito mi aiuterebbe
2) Mi sembra che in tutto questo il DB sia ancora intatto, non ci trovo link strani ne codice che a me sembra sospetto, però non si sa mai in particolare quest'ultima volta che, anche dopo aver cacellato centinaia di file corrotti o sospetti, non riesco a eliminare il problema delle pagine che si creano. In particolare, tra quelle che mi ha segnalato come sospette google search console, ce ne è una che è diversa: …nomesito.it/845345/908098/987.html. Ma il punto è che mi sono reso conto che se metto qualsiasi numero dopo l'8 ottengo un'url che mi porta alla home, ad esempio …nomesito/8/ oppure …nomesito/873/ e così via per tutte le combinazioni, e la stessa cosa accade con il 9, che però porta ad un'altra pagina.
Voi direte che, se reinstalli tutto su un nuovo server, cosa ti frega? Si è vero, spero che in una nuova installazione non mi si presenti il problema perché era causato da qualche file che non sono riuscito a trovare, ma mi sta salendo il dubbio, e se invece dipende dal db?

In pratica se qualcuno ha qualche consiglio, riconosce qualche cosa, o mi sa dare qualche dritta, ne sarei più che grato.
Scusate la lunghezza e grazie in anticipo

Alex21 · « **Risposta #1 il:** 12 Apr 2017, 01:08:06 »

Citazione da: rompikapo - 11 Apr 2017, 21:53:14

Voi direte che, se reinstalli tutto su un nuovo server, cosa ti frega? Si è vero, spero che in una nuova installazione non mi si presenti il problema perché era causato da qualche file che non sono riuscito a trovare, ma mi sta salendo il dubbio, e se invece dipende dal db?

In pratica se qualcuno ha qualche consiglio, riconosce qualche cosa, o mi sa dare qualche dritta, ne sarei più che grato.
Scusate la lunghezza e grazie in anticipo

Ciao Rompikapo,
premetto che hai tutta la mia comprensione, che deriva (purtroppo) da esperienza, che tra l'altro mi ha fatto maturare una profonda antipatia per gli hacker.
Nella nutrita lista di problemi del sito che hai elencato manca quella di aver inviato qualche milione di mail. Probabilmente perché c'è un massimo di mail orarie che puoi inviare e penso che ormai il provider ti avrà disabilitato la funzione mail.
Il database ha la sua importanza, una volta ho trovato in un sito bucato una tabella nuova di 70 (diconsi settanta) MB extra.
Per quanto so i buchi derivano al 95% da sql-injection che sfrutta falle presenti in estensioni di joomla oppure in joomla stesso, specie le versioni vecchie.
Se un hacker riesce, con sql-injection, a metterti nelle cartelle del sito un uploader, anche rudimentale, poi da quello carica / modifica centinaia di altri file e il database. Il processo è del tutto automatico, sono purtroppo numerosi i server che fanno praticamente solo quello. I file compromessi vengono chiamati costantemente e basta dimenticarne uno nella pulizia che in poco tempo l'hacker riesce a ripristinare la stessa situazione di prima.
Ogni "bucata" è diversa dalle altre. Ci sono tipologie ma non credo se ne trovino facilmente di eguali.
Posso aiutarti ad uscirne se vuoi, ma non sarà questione di 1 giorno.
Un saluto.

giovi · « **Risposta #2 il:** 12 Apr 2017, 10:02:04 »

Ma tu che versione di Joomla! usi?

rompikapo · « **Risposta #3 il:** 12 Apr 2017, 11:15:42 »

Ciao e grazie per le risposte,
Giovi, sempre aggiornato, è un sito in produzione con parecchio traffico, attualmente la 3.6.5 se non è arrivato un aggiornamento stamattina è la versione più nuova
Alex, il database pesa 90mb, l'ho scansionato in lungo e largo, non vedo cose strane ma potrei sbagliarmi. Considera il sito è parecchio grande, parliamo di 4 anni di articoli quasi quotidiani, foto, gallerie etc.
Ora chiedo al provider sulla mail, ma mi sembra di non aver avuto problemi ancora.
Come smtp usiamo google, quindi per lo meno la posta ufficiale è sottocontrollo.
Sai dirmi quali ricerche fare nel db?
ho sia Phpmyadmin che una copia in solo testo in locale
La scansione con AVG ha trovato qualche cosa nelle cartelle, ma sul database non evidenzia nulla

giovi · « **Risposta #4 il:** 12 Apr 2017, 11:35:07 »

E che estensioni hai installato?

tomtomeight · « **Risposta #5 il:** 12 Apr 2017, 11:38:55 »

Guarda che un antivirus difficilmente ti troverà script malevoli. Prova con tool dedicati anche online come sucuri.

rompikapo · « **Risposta #6 il:** 12 Apr 2017, 11:57:03 »

Intanto devo dire che contrariamente a quanto affermato ho trovato cose strane nel database, tipo link a /xGSx.php, a cartelle wordpress, e nomi sopetti tipo crack.php nella tabella dei redirect, che ha oltre 200000 linee.

le estensioni sono parecchie purtroppo, provo a ricordarle tutte:
CB, Featcat, OSMAP, joomlaMailchimpintegration, ckmenu, slideshowck, JCE, phocagallery, topcloud, jnews, rsssyndicate, sigplus e mi sembra più o meno siano tutte (in questo momento non posso controllare).

giovi · « **Risposta #7 il:** 12 Apr 2017, 12:03:30 »

Se è un sito ben indicizzato basta che ti dimentichi una non di queste estensioni non aggionrata all'ultima versione (o buggata e non corretta dallo sviluppatore) per dargli la possibilità di inserirti un file che rappresenterà per loro il punto d'accesso d'ora in avanti.

Trovato quel file devi eliminarlo ed assicurarti che non possano più ricrearlo. Se non trovi il punto di ingresso è inutile pulire i db ora, domani torneranno tutti

Ahmed Salvini · « **Risposta #8 il:** 12 Apr 2017, 12:24:01 »

Citazione da: Alex21 - 12 Apr 2017, 01:08:06

che tra l'altro mi ha fatto maturare una profonda antipatia per gli hacker.

il primo sentimento è l'antipatia poi, quando sei costretto a tenere aggiornato tutto, a non scaricare scemenze a caso, a rispettare le best pratices, pena lasciare stare questo mestiere/hobby, solitamente il sentimento si trasforma in gratitudine.

rompikapo · « **Risposta #9 il:** 12 Apr 2017, 12:44:20 »

Sono mesi che non faccio altro che cercare di capire quale può essere l'estensione responsabile…
Nel VEL non sono segnalate, gli aggiornamenti li controllo quotidianamente.
Sicuramente hanno creato delle mappe xml e le hanno anche segnalate a google serch, ma come faccio a sapere se ossmap sia responsabile o semplicemente ne hanno preso il controllo, oppure le hanno create con un altro servizio?
Per esempio una ricerca veloce mi dice che xGSx.php è un servizio di upload…

Tra l'altro Il provider mi ha detto che per avere il log del server ci vuole un provvedimento delle autorità competenti, e i controlli li possono fare loro, ma quando gli ho chiesto cosa era successo non mi hanno detto niente di specifico, indicandomi solo eventuali e ipotetiche fragilità di joomla! ed estensioni

Credo che i file sospetti li ho tolti tutti, il dubbio è che allo stato attuale il db sia di per se un buco, ed anche installando da capo joomla ed estensioni pulite rientrano con qualche file creato sfruttando quello che hanno messo nel db

giovi · « **Risposta #10 il:** 12 Apr 2017, 12:56:46 »

Citazione da: rompikapo - 12 Apr 2017, 12:44:20

Credo che i file sospetti li ho tolti tutti, il dubbio è che allo stato attuale il db sia di per se un buco, ed anche installando da capo joomla ed estensioni pulite rientrano con qualche file creato sfruttando quello che hanno messo nel db

Semmai è il contrario, continueranno a farti pasticci sul db grazie a qualche file che ti hanno messo sul server. Il db non ti da la possibilità di inzozzare se stesso se non eseguendo una query tramite qualche script sul filesystem.

Mmmm... purtroppo l'aggiornamento del VEL non è così immediato quindi non farci affidamento, e comunque si riferisce sempre all'ultima versione stabile delle estensioni (quindi ci sono tante eccezioni).

Fa come ti ha detto tomtomeight, usa sucuri o tool simili per cercare di trovare eventuali falle

Ahmed Salvini · « **Risposta #11 il:** 12 Apr 2017, 13:44:57 »

Tra l'altro Il provider mi ha detto che per avere il log del server ci vuole un provvedimento delle autorità competenti, e i controlli li possono fare loro
-------------------------------------------------------

Questa è una IDIOZIA, chiunque l'abbia detta ma è un ottimo segno per capire che è meglio cambiare servizio

Alex21 · « **Risposta #12 il:** 12 Apr 2017, 14:17:30 »

Citazione da: Ahmed Salvini - 12 Apr 2017, 12:24:01

il primo sentimento è l'antipatia poi, quando sei costretto a tenere aggiornato tutto, a non scaricare scemenze a caso, a rispettare le best pratices, pena lasciare stare questo mestiere/hobby, solitamente il sentimento si trasforma in gratitudine.

Gratitudine per nulla, spiacente. Ho dovuto sviluppare scripts appositi (con relativo sudore spremuto) per tenere scansionati i siti e accorgermi tempestivamente delle intrusioni. Con tutto ciò è sufficiente che ci sia un aggiornamento server e quindi un momentaneo relax delle allerte per trovare qualcosa che non va.
Romanticismo hacker? Non lo trovo proprio.
Ciao!

danielecr · « **Risposta #13 il:** 12 Apr 2017, 14:20:34 »

Ciao,
mi spiace per il tuo sito.
Da quello che leggo c'è ormai un bel casino, files aggiunti, database compromessi, situazione alquanto difficile..

Bisognerebbe almeno pulire il database (BENE), cancellare TUTTO dall'hosting, reinstallare joomla e estensioni, non buggate e all'ultima versione e infine reimportare il database pulito.

I log aiuterebbero sicuramente a capire da dove è partito il problema..no comment sull'accesso ai log, penso solo che sia fondamentale avere accesso ai log.

Potresti installare un firewall (con funzione di log ovviamente, per esaminare gli eventi che il firewall blocca, quindi probabilmente individuare i files php malevoli) o appoggiarti a un servizio di firewall esterno e rafforzare la sicurezza con l'htaccess.

Situazione complicata..buona fortuna!

rompikapo · « **Risposta #14 il:** 12 Apr 2017, 16:14:21 »

Intanto Grazie a tutti per i consigli, si oggi faccio Sicuri per cercare di pulire il database, come ho detto all'inizio sposto tutto su uno spazio attrezzato con firewall e altre impostazioni di sicurezza concertate con il nuovo hosting, speriamo bene

rompikapo · « **Risposta #15 il:** 13 Apr 2017, 14:40:01 »

Per la cronaca,
ad un esame attento i link strani tipo crack.php nel database si trovano in due tabelle, la prima dei redirect, _redirect_links, e poi nella serie di tabelle _finder_links.
Nel primo caso si tratta quindi di utenti che hanno inserito nella barra degli indirizzi l'url nomesito/crack.php per cercare questi file nel sito (bastardelli!), quindi automaticamente joomla ha creato il campo nel componente redirect, al quale comunque segue sempre NULL nel campo url di destinazione perché naturalmente non è stato inserito dall'amministratore nel componente.
Nel secondo caso, la tabella finder_links, credo che abbia a che fare con ricerce fatte da utenti, fatte su ricerca avanzata da alcuni utenti (fetenti!), Joomla registra automaticamente la voce nelle suddetta tabelle per fornire più velocemente il risultato ad altri utenti e migliorarne l'esperienza e la velocità di risposta, così leggo sul supporto casa madre. Tra l'altro la ricerca non è necessaria sul mio sito, quindi il modulo non è pubblicato, ed ho scoperto con l'occasione che posso disattivare la funzionalità o interagire con i parametri, anche perché sono oltre 25mb di tabelle.

Securi non ha trovato niente, o ho pulito bene oppure gli sfugge qualche cosa, ma almeno il tool on-line mi sembra non arrivi al database.

danielecr · « **Risposta #16 il:** 13 Apr 2017, 14:48:21 »

Premetto che non utilizzo e conosco poco sucuri, ma credo che il tool online analizzi la pagina che gli si da' in pasto..ora se hai una shell php da qualche parte, come fa a trovartela?
Rinnovo il commento scritto sopra, pulizia totale e installazione ex novo!

Ahmed Salvini · « **Risposta #17 il:** 13 Apr 2017, 15:48:03 »

per tenere scansionati i siti e accorgermi tempestivamente delle intrusioni.
-----------------------------------------------------------
lavoro inutile, se il sito è aggiornato e le estensioni pure non esiste questa possibilità o è remotissima.... è questo che l'hacker avrebbe dovuto insegnarti

Anche se chiamarli hacker è un po' esagerato poichè aspettano che venga segnalato un problema o cambi la versione per andare a guardare dove era il problema e sfruttarlo sui siti dei webby pigri.

Per il resto, in qs post, si stanno replicando i mille problemi dei post di questa sezione la cui UNICA soluzione è quella descritta nei post in evidenza, oppure rifare daccapo.

Alex21 · « **Risposta #18 il:** 13 Apr 2017, 16:59:02 »

Citazione da: rompikapo - 13 Apr 2017, 14:40:01

Nel primo caso si tratta quindi di utenti che hanno inserito nella barra degli indirizzi l'url nomesito/crack.php per cercare questi file nel sito (bastardelli!),

Dubito assai che si tratti di utenti, è molto più probabile che sia l'host dell' hacker che sta controllando / attivando i suoi files. Devi bannare l' IP / host di provenienza!
Comunque i file di log darebbero una notevole quantità di informazioni in più. Sono proprio necessari. Non è assolutamente vero che debbano per forza rimanere privati, a meno che ci siano solo dei log generali del server con informazioni che riguardano tutti i siti ospitati e non anche dei log per ogni singolo sito.
Ah, è proprio opportuno che il sito sia configurato raggiungibile solo tramite https. Tutto il sito.
Ciao!

rompikapo · « **Risposta #19 il:** 14 Apr 2017, 01:59:23 »

Ahmed, Alex21 e Danielecr, grazie per le risposte

No Ahmend non sono daccordo, le informazioni su questo ed altri post mi sono state utilissime, e torno a ringraziare tutti, inoltre sospetto che non hai letto bene, il sito era ed è sempre stato aggiornatissimo, aggiungo quotidianamente, le estensioni scelte controllando nel VEL, ed anche valutando il team che le ha create, le password cambiate di frequente, ma vuoi che ci sia una debolezza dell'host, vuoi che forse comunque qualche buco tra un'aggiornamento e l'altro si crea, vuoi che potrebbe esserci una debolezza in locale degli amministratori, vuoi che probabilmente qualche cosa ho sbagliato, perché errare è umano, la fiducia cieca negli aggiornamenti sicuramente diminuisce di moltissimo il rischio ma qualche spiraglio i maleintenzionati alle volte lo trovano lo stesso.
Comunque ora ho il problema di dover capire se e quale di quelle estensioni, aggiornate, potrebbe essere il buco, scusa se è poco.
Poi a margine non sminuirei neanche tutto il discorso della sicurezza e degli hacker, non sono la persona più adatta a fare l'esperto, ma non ci sono solo ragazzini che si divertono, ci girano un sacco di soldi, fino al punto da poter sospettare che chi fa la medicina fa anche il virus… o il contrario… per esempio ho letto da qualche parte che l'1% del traffico internet è costituito da attacchi DOS (che tra l'altro partono anche da siti hackerati), non è mica poco se ci pensi.

Alex21 credo che hai detto bene, hanno un log comune perché mi pare abbiano parlato anche di privacy, con il firewall dovrei risolvere per il futuro anche per il log e gli IP

Danielecr, la shell me la ha trovata avg in locale… Sucuri ha un tool e un firewall a pagamento, forse lo stesso che mi installano sul nuovo host, non lo so, il tool on-line credo che controlla le pagine in cerca di malware, che probabilmente ho già rimosso

danielecr · « **Risposta #20 il:** 14 Apr 2017, 15:51:09 »

Citazione da: rompikapo - 14 Apr 2017, 01:59:23

Alex21 credo che hai detto bene, hanno un log comune perché mi pare abbiano parlato anche di privacy, con il firewall dovrei risolvere per il futuro anche per il log e gli IP

Danielecr, la shell me la ha trovata avg in locale… Sucuri ha un tool e un firewall a pagamento, forse lo stesso che mi installano sul nuovo host, non lo so, il tool on-line credo che controlla le pagine in cerca di malware, che probabilmente ho già rimosso

I log del firewall però loggano solo quello che il firewall blocca; se bypassa il firewall, questo non logga un bel niente. I log del server invece loggano tutto!
Qui però si parla di attacchi elaborati: a meno che tu non curi un sito di una multinazionale con dati interessanti sull'hosting, o siti governativi, o altro di rilevanza alta credo non corri grossi rischi

La maggior parte comunque, se non la totalità, sono effettivamente ragazzini che "giocano": se analizzassi i file di log te ne accorgeresti e vedresti di tutto, da tentativi di exploit su versioni diverse di joomla, a tentativi di exploit di altri cms su joomla, a scansioni di eventuali shell pre-esistenti, di tutti i colori, e si capisce subito con chi si ha a che fare..

Riguardo alla shell, avg l'ha trovata...una...ma è possibile che ce ne siano altre che avg non rileva; anche se credo che avg sia un discreto antivirus in generale, non è proprio il tool adatto per rilevare script malevoli! Quindi rinnovo per la terza volta la pulizia totale dei files!

rompikapo · « **Risposta #21 il:** 14 Apr 2017, 16:54:46 »

Grazie Daniele, sul log mi hai fornito una buon argomento per impostare bene il rapporto nuovo.
Sulla pulizia ho già capito che non posso essere sicuro caricando i vecchi file, quindi l'installazione di tutto è nuova e pulita, sto invece cercando di capire se posso recuperare il database, ed in ogni caso le immagini degli articoli.
I template invece li ho fatti io, sono molto base, non dovrebbero avere buchi, comunque ne ho una copia sana in locale e li ricontrollo fino allo sfinimento.